Se présentant comme une alternative sécurisée aux bridges cross-chains, Nomad a été la cible d’une attaque. Le montant du préjudice se monte pour le moment à 200 millions de dollars.
La sécurité des ponts crypto destinés à transférer des actifs entre blockchains fait régulièrement la une de l’actualité cyber. En 2022, Ronin, bridge conçu par Sky Mavis, était victime d’un hack au coût de 600 millions de dollars. En juin, c’était Horizon (100 millions $).
Dans un tel contexte, le discours commercial de Nomad lui avait valu bien des attentions, et même une levée de fonds conséquente. En avril, la startup levait 22,4 millions de dollars grâce à son concept de pont crypto sécurisé.
Une faille de sécurité simple d’utilisation
Les affirmations ne sont cependant pas une protection à toutes épreuves. L’éditeur en fait l’amère expérience. Le 1er août, Nomad a été la cible de pirates informatiques, qui sont parvenus à dérober pour près de 200 millions de dollars de crypto-monnaies.
Pour transférer des actifs numériques entre différents réseaux, les ponts exploitent des smart contracts. La sécurité de ces programmes est donc essentielle. Or, c’est une faille dans ces smart contracts qui est en cause dans cette affaire.
Selon un chercheur de la firme d’investissement crypto Paradigm, Nomad a récemment procédé à une mise à jour de ses contrats. Problème : l’éditeur a alors introduit une vulnérabilité permettant d’usurper des transactions.
Revers cinglant pour le bridge sécurisé
En clair, des utilisateurs ont pu tirer profit d’une faille afin de s’approprier des jetons dont ils n’étaient pas les détenteurs. Et le mode opératoire s’avère particulièrement simple puisqu’il consistait à remplacer les adresses de wallet.
[…] vous n’aviez pas besoin de connaître Solidity ou les arbres de Merkle ou quoi que ce soit de ce genre. Tout ce que vous aviez à faire était de trouver une transaction qui fonctionnait, de trouver/remplacer l’adresse de l’autre personne par la vôtre, puis de la rediffuser », explique le chercheur sur Twitter.
Cet événement pointe une nouvelle fois les risques attachés aux transferts entre blockchains par l’intermédiaire de bridges crypto. Pour Nomad, c’est surtout une sévère remise en cause de ses promesses dans le domaine de la sécurité.
Ses investisseurs, parmi lesquels des acteurs de premier plan tels que Coinbase, OpenSea, Crypto.com Capital et Polygon, ne goûteront sans doute pas ce rappel cinglant de la vulnérabilité des ponts crypto.
Suivez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram pour ne rien manquer.