Getting your Trinity Audio player ready...
|
Dernière modification effectuée le 11.08.2023 14:38
L’interopérabilité entre les blockchains représente un objectif ultime pour les développeurs de l’écosystème. Pourtant, ces derniers temps, les ponts entre blockchains apparaissent comme des menaces pour les utilisateurs dès lors qu’une vulnérabilité est repérée dans leur code. Le bridge Nomad l’a appris à ses dépens puisqu’en l’espace de quelques heures l’intégralité de son protocole a été vidée de ses fonds suite à un hack.
Pour rappel, un bridge est un protocole qui permet de transférer des crypto monnaies d’une blockchain à une autre en utilisant notamment la méthode des wrapped tokens.
Le bridge Nomad n’est pas un petit acteur de l’écosystème puisqu’avant que le hack de son protocole ne se produise il détenait 190 millions de dollars en son sein. Il permet notamment de relier le réseau Ethereum à Moonbeam ou Covalent.
En savoir plus sur : Selon Vitalik le Metaverse arrive, mais Facebook va échouer
Le bridge Nomad victime d’un hack d’ampleur
La particularité de ce hack repose dans sa simplicité. En effet, il ne s’agissait pas de l’exploitation d’une faille par un seul groupe de personnes, mais d’une opération menée par une multitude d’acteurs ne s’étant jamais coordonnée ni même rencontrée.
Concrètement, la vulnérabilité s’est d’abord mise en évidence lorsqu’un attaquant s’est chargé d’exploiter une faille présente dans le code du protocole. D’ailleurs, fait étonnant, l’explication de cette faille était disponible publiquement sur le GitHub de Nomad avec des commentaires explicites sur le problème, mais également sur la manière de l’utiliser.
Dès lors, lorsque la première personne s’est chargée de l’exploiter, des milliers d’autres personnes se sont simplement empressées de la répliquer en effectuant simplement un copier-coller de la procédure utilisée par l’attaquant originel. Certains utilisateurs ont même partagé leur expérience en expliquant utiliser la faille à partir d’un smartphone.
Techniquement, les rédacteurs du code se sont fourvoyés dans l’initialisation de la racine merkkle ayant pour conséquence que chaque message soit prouvé valide par défaut. Ainsi, en seulement quelques heures, le bridge Nomad est passé de 190 millions de dollars de TVL à seulement 12 000 dollars au moment de l’écriture de cet article. Néanmoins, de nombreux white hat se sont chargés d’exploiter la faille dans l’objectif de rendre les fonds ultérieurement au protocole.
Ce nouveau hack renvoie nécessairement au propos récent de Vitalik sur les limites techniques des bridges. Désormais il faudra attendre les suites de cette affaire, mais des voix s’élèvent déjà pour louer les bienfaits futurs de l’IBC développée par l'écosystème Cosmos.