Le bridge Nomad, permettant une interconnexion entre plusieurs réseaux comme Moonbeam ou Covalent et la blockchain Ethereum a été piraté il y a quelques heures, aboutissant au détournement de 190 millions de dollars.
Nomad’s land
Ce sera l’image du jour, un instantané via le site de tracking Defillama de la TVL (liquidité totale verrouillée) du bridge Nomad. Une TVL passée en quelques heures de 190 millions de dollars en ethers, USDC et autres tokens “wrappés” à …1794 dollars.
En cause, un exploit dudit bridge vers 1h du matin heure française, permettant à ses auteurs de siphonner la quasi-intégralité des fonds.
Et aussi affolant que soit ce constat, des premières investigations menées par la communauté des développeurs, il semble que la faille exploitée ait concerné une vulnérabilité particulièrement primaire.
« Nomad fonctionne en 2 étapes :
L’utilisateur envoie un jeton de la chaîne X
L’utilisateur traite le retrait du jeton sur la chaîne Y
Durant l’étape 2, le pont semble permettre à l’utilisateur de faire passer un montant arbitraire. »
Une vulnérabilité si béante, qu’outre le siphonnage initial des hackers, n’importe qui était littéralement en mesure de venir l’exploiter tant que des fonds restaient disponibles sur le bridge. La situation a d’ailleurs permis à quelques whitehats de bonne volonté de récupérer une partie des fonds, dans la perspective d’une restitution ultérieure (une manipulation si simple qu’elle pouvait même être exécutée… d’un simple smartphone).
« Je traversais la ville en pyjama pour me rendre au bureau, tout en reproduisant moi-même l’exploit pour sauver des fonds. Le tout sur mon téléphone avec peu ou pas de batterie. »
Diner de ponts
Ce hack démontre une fois encore à quel point les bridges représentent des points de fragilité de l’écosystème DeFi. Un constat qu’avait prophétisé Vitalik Buterin. En outre, l’interdépendance de ses acteurs est de nature à provoquer des effets domino potentiellement dévastateurs. Un risque que les récents événements autour de l’effondrement de LUNA ont tristement illustré. Nouvelle démonstration ce soir avec le projet Covalent qui indique d’ores et déjà que près de 13% de la supply en token $CQT a été concernée par le piratage du bridge.
On reviendra rapidement sur le Journal du Coin sur les détails de ce nouvel épisode. Un épisode qui éclaire une fois encore les failles et défaillances de l’industrie de la Finance Décentralisée d’une lumière crue.
Avant de retourner travailler votre position du lotus, prenez 3 minutes pour vous inscrire sur Binance, le leader de l’écosystème crypto, afin d’y acheter et échanger vos premières cryptomonnaies. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).
