jeudi, décembre 19, 2024

Nomad aurait ignoré la vulnérabilité de sécurité qui a conduit à un exploit de 190 millions de dollars

Le piratage du pont de jetons Nomad le 3 août était le quatrième plus grand piratage cryptographique de l’histoire qui a vu près de 200 millions de dollars d’actifs cryptographiques drainés de la plate-forme. Cependant, plus que le piratage, la méthodologie sous-jacente a suscité une large attention.

L’exploit a eu lieu en raison d’une vulnérabilité de contrat intelligent qui a également impliqué des centaines d’utilisateurs autres que le pirate, en enlevant autant qu’ils le peuvent en copiant-collant simplement les données de transaction utilisées par le pirate initial et en changeant l’adresse du portefeuille par la leur. . L’événement a ensuite été considéré comme un vol décentralisé par beaucoup en raison de l’implication de membres normaux de la communauté.

Plus tard, l’équipe Nomad a révélé à Cointelegraph que certaines des personnes qui avaient pris des fonds agissaient avec bienveillance pour empêcher la cryptographie de tomber entre de mauvaises mains.

À la suite du piratage, le groupe d’analyse cryptographique BestBrokers a découvert que le premier exploit avait eu lieu le 1er août, qui avait drainé 400 Bitcoin (BTC) dans quatre transactions différentes. Les pirates ont ensuite détourné les 22 880 Ether (ETH), puis sont passés aux plus de 107 millions de dollars de stablecoins et ont finalement commencé à détourner les altcoins soutenus par le projet.

L’incident a vu WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO ), les jetons Card Starter (CARDS), Saddle DAO (SDL) et Charli3 (C3) prélevés sur le pont.

Lié: Le piratage de portefeuille basé sur Solana en cours voit des millions drainés

Certains altcoins volés sur la plateforme ont subi une baisse de 94 %. Données recueillies par la société d’analyse ont montré que les altcoins suivants ont subi le plus gros effondrement après le piratage :

La vulnérabilité du contrat intelligent qui a été exploitée a été mise en évidence dans un rapport d’audit de sécurité réalisé par Quantstamp la première semaine de juin. L’équipe Nomad a même répondu à la vulnérabilité en affirmant qu’il était « effectivement impossible de trouver la préimage de la feuille vide ».

Les auditeurs ont estimé que l’équipe Nomad avait mal compris le problème à l’époque et, en deux mois, la même vulnérabilité a été à l’origine de près de 200 millions de dollars de pertes.

Cointelegraph a contacté Nomad avec des questions liées à la découverte et mettra à jour l’histoire en conséquence.