L’exploit remet une fois de plus en question la sécurité des ponts de jetons inter-chaînes.

Le pont de jetons inter-chaînes Nomad a été exploité lundi, les attaquants vidant le protocole de la quasi-totalité de ses fonds. La valeur totale de la crypto-monnaie perdue lors de l’attaque s’est élevée à près de 200 millions de dollars.

Nomad, comme les autres ponts inter-chaînes, permet aux utilisateurs d’envoyer et de recevoir des jetons entre différentes chaînes de blocs. L’attaque de lundi est la dernière d’une série d’incidents très médiatisés qui ont remis en question la sécurité des ponts inter-chaînes.

CoinDesk a contacté Nomad pour un commentaire mais n’avait pas eu de réponse au moment de la rédaction. Dans un tweet, l’équipe a déclaré qu’elle enquêtait sur l’incident.

Nous sommes au courant de l’incident impliquant le pont à jetons Nomad. Nous enquêtons actuellement et fournirons des mises à jour lorsque nous les aurons. — Nomade (⤭⛓) (@nomadxyz_) 1 août 2022

Qu’est-il arrivé?

Les ponts fonctionnent généralement en verrouillant des jetons dans un contrat intelligent sur une chaîne, puis en réémettant ces jetons sous forme « encapsulée » sur une autre chaîne.

Si le contrat intelligent où les jetons sont initialement déposés est saboté – comme cela s’est produit dans le cas de Nomad – les jetons enveloppés n’ont plus de support, ce qui peut les rendre sans valeur.

Sam Sun, chercheur à la société d’investissement cryptomonnaie Paradigm, a expliqué sur Twitter qu’une récente mise à jour de l’un des contrats intelligents de Nomad permettait aux utilisateurs d’usurper facilement des transactions, ce qui indique que les gens pouvaient retirer de l’argent du pont qui ne leur appartenait pas réellement.

1/ Nomad vient d’être épuisé pour plus de 150 millions de dollars dans l’un des hacks les plus chaotiques que Web3 ait jamais vus. Comment cela s’est-il produit exactement et quelle en était la cause première ? Permettez-moi de vous emmener dans les coulisses pic.twitter.com/Y7Q3fZ7ezm – samczsun (@samczsun) 1 août 2022

Contrairement à certaines attaques de pont, où un seul coupable est derrière tout l’exploit, l’attaque Nomad était gratuite pour tous.

« … vous n’aviez pas besoin de connaître Solidity ou Merkle Trees ou quoi que ce soit du genre. Tout ce que vous aviez à faire était de trouver une transaction qui fonctionnait, de trouver/remplacer l’adresse de l’autre personne par la vôtre, puis de la rediffuser », a expliqué Sun.

Nomad : une alternative « sécurisée » ?

Les attaques de pont sont devenues plus fréquentes ces derniers mois, car les utilisateurs de crypto ont démontré un appétit accru pour échanger des actifs entre différentes chaînes de blocs.

Alors que les ponts inter-chaînes ont permis la prolifération de blockchains parvenues, les défaillances de ponts peuvent être dévastatrices pour les petites chaînes qui en dépendent pour une grande partie de leur liquidité totale.

Evmos, l’une des chaînes de blocs les plus récentes desservies par Nomad, a tweeté qu’il s’agirait de « remue-méninges sur des solutions communautaires » à l’attaque Nomad étant donné qu’elle « affecte considérablement l’Evmos initial ». [total value locked].”

La plus grande attaque de financement décentralisé (DeFi) de l’histoire, l’attaque du pont Ronin d’avril, a vu plus de 600 millions de dollars de crypto siphonnés hors du pont qui alimente le jeu basé sur la blockchain Axie Infinity.

Quelques mois auparavant, plus de 300 millions de dollars avaient été drainés du pont Wormhole, faisant des ravages dans la communauté de la blockchain de Solana et dans l’écosystème plus large de la finance décentralisée (DeFi).

Nomad a vendu aux investisseurs la vision qu’il serait fondamentalement plus sûr que les plateformes alternatives.

Pas plus tard que la semaine dernière, il a révélé que les poids lourds de la crypto Coinbase Ventures et OpenSea faisaient partie de ceux qui ont participé à un tour de table en avril qui valorisait la société à 225 millions de dollars.