IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Nomad a perdu plus de 150 millions de dollars à cause d'une erreur de codage

  1. #41
    Membre émérite
    Avatar de Seb33300
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2007
    Messages
    1 561
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 561
    Points : 2 380
    Points
    2 380
    Par défaut
    Si tu regardes la courbe tu peux aussi voir que les volumes aussi sont en chute libre, pas que le montant équivalent $, c'est à dire que le marché est en train de mourir totalement.
    Pour la courbe rouge, c'est ce que j'explique dans mon message précédent, la plupart des crypto ont perdu 90% de leur valeur, donc oui, on constate aussi la même chose pour les NFT...

    La courbe blanche qui représente à priori le nombre de vente a certes un peu chuté, ce qui peut se comprendre dans le contexte actuel, mais les volumes restent supérieur à ce qu'il se vendait 1 an plus tôt le même mois de ce que je vois.

    Cela s'explique également parce que beaucoup moins de "projet" cypto / NFT se lancent dans le contexte actuel et attendent un rebond des cryptos.
    Du coup, si il y a moins d'offre, il y a moins de vente.

    Mais je ne me risquerais pas à dire que les NFT ou le bitcoin sont mort à ce stade.

    Et non, je n'ai jamais acheté de NFT d'image de singe, de chat ou de je ne sais quoi... donc je ne dit pas ça en mode fanboy
    Je suis aussi contre ce type d'usage inutile et majoritairement fait pour escroquer les gens.

    Mais, il faut se rendre à l'évidence :

    https://infogram.com/the-number-of-t...hzj4o3wnlpm34p
    Zend Certified PHP Engineer

    « Crois-tu comprendre le monde juste en matant le 20H Ou connaître l'histoire en ayant lu que l'angle des vainqueurs ? » Keny Arkana

  2. #42
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 427
    Points : 13 955
    Points
    13 955
    Par défaut
    Citation Envoyé par Seb33300 Voir le message
    Pour la courbe rouge, c'est ce que j'explique dans mon message précédent, la plupart des crypto ont perdu 90% de leur valeur, donc oui, on constate aussi la même chose pour les NFT...
    L'ethereum et le bitcoin, les cryptomonnaies de références, ont perdu entre 2 et 3 fois leur valeur, donc non ça ne suffit pas a expliquer une telle baisse.

  3. #43
    Expert confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2009
    Messages
    1 801
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2009
    Messages : 1 801
    Points : 4 870
    Points
    4 870
    Par défaut
    Citation Envoyé par Pierre Louis Chevalier Voir le message
    Pas du tout, en fait les NFT ça sert à rien , ça sert juste à spéculer, et à vendre du vent à des gogos, mais ça c'est déjà écroulé.
    Je proteste !
    Les NFT utilisés en tant qu'outil spéculatif, oui c'est de la merde. Et en même temps c'est le cas pour l'art physique qui n'est plus que de la spéculation depuis longtemps.

    Par contre en restant dans "l'art" je pense qu'il y aura un intérêt dans le domaine du méta verse.

    Mais surtout le NFT peut venir bouleverser complétement le monde physique pour tout ce qui est gestion de titre de propriété.
    Une part du boulot des notaires c'est de conserver les actes de propriétés, ce qui doit couter une fortune. En basculant d'une manière ou d'une autre sur du NFT les couts seraient bien moindre. On peut envisager un changement sur les cartes grises des voitures également.
    Il y a également ce qui touche aux "propriétés éphémères" type billet de spectacle, mais également ce qui touche à la logistique.

    A mon avis il y a un tas d'applications possibles et centrer son regard sur la partie spéculative c'est passer à coté de beaucoup de chose.

  4. #44
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 427
    Points : 13 955
    Points
    13 955
    Par défaut
    On a pas attendu les NFT pour gérer les titres de propriété et autres billets de spectacle de manière dématérialisée, ça marche très bien et avec un coût total réel bien inférieur vu que ça n'a pas a être adossé a une blockchain.

  5. #45
    Expert confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2009
    Messages
    1 801
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2009
    Messages : 1 801
    Points : 4 870
    Points
    4 870
    Par défaut
    Citation Envoyé par Uther Voir le message
    On a pas attendu les NFT pour gérer les titres de propriété et autres billets de spectacle de manière dématérialisée, ça marche très bien et avec un coût total réel bien inférieur vu que ça n'a pas a être adossé a une blockchain.
    Tu vas me dire que l'on a pas attendu non plus pour numériser la monnaie?

    Ce n'est pas parce que c'est virtuel que c'est la même chose. Il y a forcement des avantages et des inconvénients, mais il est plus intéressant de les lister plutôt que de balayer d'un revers de la main.

  6. #46
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 427
    Points : 13 955
    Points
    13 955
    Par défaut
    Je n'avait pas prévu, étant donné que l'on discutait des NFT et pas des cryptomonnaie, mais en effet ça vaut aussi pour les transaction numériques qui n'ont pas attendu le bitcoin.

    En effet il faut comparer les avantages et les inconvénients, et force et de constater que d'un point de vu technique la blockchain pose beaucoup de soucis pour se passer d'un tiers de confiance, ce dont on a quasiment jamais besoin dans la pratique.

  7. #47
    Expert confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2009
    Messages
    1 801
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2009
    Messages : 1 801
    Points : 4 870
    Points
    4 870
    Par défaut
    Citation Envoyé par Uther Voir le message
    Je n'avait pas prévu, étant donné que l'on discutait des NFT et pas des cryptomonnaie, mais en effet ça vaut aussi pour les transaction numériques qui n'ont pas attendu le bitcoin.
    En effet il faut comparer les avantages et les inconvénients, et force et de constater que d'un point de vu technique la blockchain pose beaucoup de soucis pour se passer d'un tiers de confiance, ce dont on a quasiment jamais besoin dans la pratique.
    La blockchain n'a pas forcement besoin d'être décentralisée, et c'est pourquoi nous passerons bientôt à l'euro format blockchain. Parce que la blockchain c'est aussi un traçage permanent et c'est pourquoi cela intéresse en haut lieux.
    De mon point de vue c'est le pire usage qu'il puisse être fait. Le centralisateur (l'état/ BCE) pourra désactiver qu'il il veut quand il veut d'un "simple" bouton.

    En revanche quand tu dis qu'on a quasiment jamais besoin de se passer d'un tiers de confiance dans la pratique, c'est surtout qu'on a jamais pu le faire. Toute notre société est construite autour de ça, alors pour imaginer autre chose c'est pas simple.

  8. #48
    Inactif  
    Homme Profil pro
    Expert sécurité informatique
    Inscrit en
    juin 2022
    Messages
    37
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2022
    Messages : 37
    Points : 99
    Points
    99
    Par défaut
    Citation Envoyé par micka132 Voir le message
    La blockchain n'a pas forcement besoin d'être décentralisée, et c'est pourquoi nous passerons bientôt à l'euro format blockchain. Parce que la blockchain c'est aussi un traçage permanent et c'est pourquoi cela intéresse en haut lieux.
    De mon point de vue c'est le pire usage qu'il puisse être fait. Le centralisateur (l'état/ BCE) pourra désactiver qu'il il veut quand il veut d'un "simple" bouton.

    En revanche quand tu dis qu'on a quasiment jamais besoin de se passer d'un tiers de confiance dans la pratique, c'est surtout qu'on a jamais pu le faire. Toute notre société est construite autour de ça, alors pour imaginer autre chose c'est pas simple.
    Mouais ...
    Au final on risque d'aller vers un monde à la "Flashback", le fameux jeu sur Snes/Megadrive/... ou les gens paient avec des "crédits", qui sont des cartes magnétiques que tu peux remplir indépendamment de ta banque, de la même manière qu'une clé USB contiendrait des fichiers appelé "billets", et qui à la fin des fins, seraient l'exacte équivalent d'avoir des billets chez soit, qui ne sont pas traçable, car ce ne sont que des bouts de papiers, sauf que là, les billets sont dans un supports, dans une chaine qui a totalement été numérisée à l'échelle mondiale et qui permet de remplir ces cartes un peu partout.

    mais ça, et l'euro numérique, ça ne reste utile que si demain on devient multiplanétaire, car on aura besoin de normaliser les transactions et les faciliter.
    En 2022 ... a part être dans le gadget ... je n'en vois pas un intérêt réel et sérieux.

    Maintenant, il est clair que celui qui va s'y mettre dès maintenant à mettre en place un tel système de paiement avec des bornes de recharge de crédit équivalent aux bornes de retrait de billets et normaliser ça pour qu'on puisse payer avec de telle carte un peu partout, est dans la même position que les usuriers qui ont mis en place les systèmes de paiement par billet : Une montagne d'or.

    Mais bon courage, car ça veut dire qu'il faut arriver à mettre en place une carte qui ne soit pas dépendante d'une banque, d'une personne et qui n'ai que vocation à être une carte rechargeable et dépensable, pour être utiliser par tout type de support qui requiert de payer avec. Puisque le but de cette logique est de pouvoir donner cette carte magnétique à n'importe qui, sans avoir à l'identifier mais lui donner une existence équivalente à un billet

  9. #49
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    juin 2016
    Messages
    2 534
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 534
    Points : 47 896
    Points
    47 896
    Par défaut Nomad a perdu plus de 150 millions de dollars à cause d'une erreur de codage
    Nomad, un service de transfert de cryptomonnaies interblockchain, a perdu plus de 150 millions de dollars à cause d'une erreur de codage
    le contrat intelligent du service est en cause

    Des pirates auraient drainé plus de 150 millions de dollars en cryptomonnaies de Nomad, un service qui permet aux utilisateurs de transférer des jetons d'une blockchain à une autre, dans une nouvelle attaque mettant en évidence les faiblesses de la finance décentralisée (DeFi). Les chercheurs en sécurité ont révélé que la vulnérabilité exploitée par les attaquants résidait dans le contre intelligent de Nomad. Un audit du code de Nomad aurait révélé cette faille un mois plus tôt, mais l'entreprise ne l'a pas corrigée. Après l'attaque, Nomad a indiqué que son objectif était d'identifier les comptes impliqués et de tracer et récupérer les fonds.

    Nomad est un protocole de pont permettant le transfert de jetons de cryptomonnaie entre différentes blockchains. En effet, toutes les blockchains se développent dans des environnements isolés et ont des règles et des mécanismes de consensus différents. Cela signifie qu'elles ne peuvent pas communiquer de manière native et que les jetons ne peuvent pas circuler librement entre les blockchains. Ainsi, les ponts existent pour connecter les blockchains, permettant le transfert d'informations et de jetons entre elles. Les ponts entre les blockchains fonctionnent exactement comme les ponts que nous connaissons dans le monde physique.

    Tout comme un pont réel relie deux endroits physiques, un pont dans l'espace DeFi relie deux écosystèmes de blockchain. Les ponts facilitent la communication entre les blockchains par le transfert d'informations et d'actifs. Nomad se décrit comme un protocole d'interopérabilité optimiste qui permet une communication interblockchain sécurisée. Mais au début de la semaine, la plateforme a été vidée de ses jetons qui valent théoriquement 190,7 millions de dollars s'ils sont échangés contre des dollars américains. Nomad a reconnu l'exploit dans un tweet lundi soir, appelant les clients au calme et indiquant qu'une enquête est en cours.

    Nom : 1.png
Affichages : 899
Taille : 59,7 Ko

    « Nous sommes conscients de l'incident impliquant le pont de jetons Nomad. Nous enquêtons actuellement et fournirons des mises à jour lorsque nous les aurons. Nous travaillons 24 heures sur 24 pour remédier à la situation et nous avons informé les forces de l'ordre et fait appel à des entreprises de premier plan dans le domaine de l'intelligence et de la criminalistique des blockchains. Notre objectif est d'identifier les comptes impliqués et de tracer et récupérer les fonds », a déclaré Nomad dans un fil de discussion mardi sur Twitter. Jusque-là, Nomad n'a pas donné une explication sur la façon dont l'attaque a été orchestrée.

    Cependant, un chercheur en sécurité de Paradigm portant le pseudonyme "samczsun" sur Twitter a déclaré que Nomad a été exploité à la suite d'un bogue dans ce que l'on appelle un "contrat intelligent". Comme par hasard, ce bogue semble avoir été cité parmi un certain nombre de failles identifiées dans un audit de sécurité du code de Nomad datant du 6 juin 2022. Identifié sous le nom de "QSP-19 Proving With An Empty Leaf", le rapport de l'audit signale un contrôle de validation qui accepte une valeur "bytes32" vide et recommande ce qui suit : "confirmer que l'entrée _leaf de la fonction Replica.sol:prove n'est pas vide."

    La réponse de Nomad à cette recommandation a été de la rejeter, ce à quoi l'auditeur a répondu : « nous pensons que l'équipe de Nomad a mal compris la question ». Le code insuffisamment validé semble résider dans la fonction process() du Nomad ERC20 Bridge Contract (Replica.sol:process), dans une partie du programme qui a un objectif similaire à celui de la fonction prove() citée dans le rapport d'audit. Elle est censée accepter une valeur d'entrée et voir si elle fait partie d'un arbre de Merkle, une structure de données arborescente qui stocke les valeurs de données hachées dans ses nœuds de feuille.

    Nom : d.png
Affichages : 884
Taille : 30,5 Ko

    Le code est censé vérifier les messages pour voir s'ils contiennent une racine de Merkle valide. Mais l'équipe Nomad a apparemment initialisé la racine de confiance avec la valeur 0x00, ce qui a eu pour effet de valider chaque message. Le piratage rendu possible par cette erreur de codage s'est avéré si simple que les experts en sécurité de la blockchain ont décrit l'exploit comme une "mêlée générale". Selon eux, toute personne ayant connaissance de l'exploit et de son fonctionnement pouvait profiter de la faille et retirer un certain nombre de jetons de Nomad. D'ailleurs, il a été signalé que des dizaines d'adresses ont participé au vol.

    « C'est la raison pour laquelle le piratage a été si chaotique. Vous n'aviez pas besoin de connaître Solidity, les arbres de Merkle ni quoi que ce soit d'autre. Tout ce que vous aviez à faire était de trouver une transaction qui a fonctionné, de trouver/remplacer l'adresse de l'autre personne par la vôtre, puis de la relancer », a expliqué "samczsun". Ce dernier a décrit l'exploit comme "l'un des piratages les plus chaotiques que Web3 ait jamais vus" - Web3 étant une future itération hypothétique d'Internet construite autour de la technologie blockchain. Mais le Web3 ne fait pas l'unanimité, certains le considérant comme un simple "buzzword".

    Entre-temps, Nomad espère récupérer au moins une partie des jetons volés, en partant du principe que certains des voleurs se sont livré à un chapardage protecteur pour épuiser les fonds afin que les personnes moins charitables n'en aient pas. Fidèle à son qualificatif d'"optimiste", Nomad a remercié "ces utilisateurs bienveillants qui auraient agi de manière proactive pour protéger les fonds". Par ailleurs, Nomad n'est pas le premier pont de l'espace DeFi qui a été piraté et vidé de ses fonds au cours des derniers. Cinq de ces ponts ont récemment été piratés, représentant plus d'un milliard de dollars de pertes pour les investisseurs.

    Nom : er.png
Affichages : 850
Taille : 33,0 Ko

    Des vulnérabilités et une mauvaise conception ont fait des ponts une cible de choix pour les pirates qui cherchent à escroquer des millions aux investisseurs. En avril, un pont appelé Ronin a perdu 600 millions de dollars en cryptomonnaies. Les responsables américains ont attribué le piratage à l'État nord-coréen. Quelques mois plus tard, Harmony, un autre pont, a été vidé de 100 millions de dollars dans une attaque similaire. Il a également eu les piratages de : Qubit Bridge (80 millions de dollars) ; Wormhole Bridge (320 millions) ; Meter.io Bridge (4,4 millions) ; et Poly Network Bridge (610 millions qui auraient été rendus).

    Comme Ronin et Harmony, Nomad était visé par une faille dans son code, mais il y avait quelques différences. Avec ces attaques, les pirates ont pu récupérer les clés privées nécessaires pour prendre le contrôle du réseau et commencer à distribuer des jetons. Dans le cas de Nomad, c'était beaucoup plus simple que cela. Une mise à jour de routine du pont a permis aux utilisateurs de falsifier des transactions et de s'emparer de millions de dollars en cryptomonnaies.

    Sources : samczsun, Nomad, Rapport de l'audit du code de Nomad

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de la vulnérabilité exploitée par les pirates de Nomad ?
    Que pensez-vous de la finance décentralisée (DiFi) ? Ses avantages l'emportent-ils sur les inconvénients ?

    Voir aussi

    L'utilisation des cryptomonnaies est plus répandue dans les pays corrompus, d'après une récente étude du FMI

    Christine Lagarde préoccupée par le rôle du Bitcoin dans la facilitation des activités criminelles, la présidente de la Banque centrale européenne voudrait une régulation mondiale de la cryptomonnaie

    La catastrophe du marché des cryptomonnaies a fait perdre plus de 1 000 milliards de dollars de capitalisation boursière, le bitcoin chute de 9,3 % à 36 955 $

    Bill Gates affirme que les cryptomonnaies et les NFT sont une imposture "basée à 100 % sur la théorie du plus grand fou", ajoutant que ces actifs sont voraces en énergie et nuisent à l'environnement
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  10. #50
    Membre habitué
    Homme Profil pro
    testeur logiciel
    Inscrit en
    juin 2007
    Messages
    123
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : testeur logiciel
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2007
    Messages : 123
    Points : 187
    Points
    187
    Par défaut Quel amateurisme
    Mais quel amateurisme de leur part ! Dire qu'ils avaient connaissance de la faille de sécurité et qu'ils n'ont pas corrigé... On ne peut rien faire pour eux.
    Quand on voit la portion de code impliqué cela a été fait à la va-vite et j'imagine qu'une revue de code d'un membre de leur équipe aurait permis de corriger le problème.
    Dire que c'est le fondateur de la boîte qui a commité (sûrement pour ça qu'il n'y a pas besoin de revues et de tests).

Discussions similaires

  1. Réponses: 1
    Dernier message: 07/02/2015, 21h28
  2. [SP-2010] event receiver qui ne marche pas quand il est couplé avec un content type
    Par cekamb72 dans le forum SharePoint
    Réponses: 6
    Dernier message: 29/08/2011, 18h53
  3. Réponses: 5
    Dernier message: 23/08/2011, 21h19
  4. Cherche si une connexion est etablie avec une machine ou non
    Par aefmaaradji dans le forum VBScript
    Réponses: 1
    Dernier message: 14/06/2010, 13h49
  5. Réponses: 5
    Dernier message: 26/01/2009, 13h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo