3 pièce(s) jointe(s)
Nomad a perdu plus de 150 millions de dollars à cause d'une erreur de codage
Nomad, un service de transfert de cryptomonnaies interblockchain, a perdu plus de 150 millions de dollars à cause d'une erreur de codage
le contrat intelligent du service est en cause
Des pirates auraient drainé plus de 150 millions de dollars en cryptomonnaies de Nomad, un service qui permet aux utilisateurs de transférer des jetons d'une blockchain à une autre, dans une nouvelle attaque mettant en évidence les faiblesses de la finance décentralisée (DeFi). Les chercheurs en sécurité ont révélé que la vulnérabilité exploitée par les attaquants résidait dans le contre intelligent de Nomad. Un audit du code de Nomad aurait révélé cette faille un mois plus tôt, mais l'entreprise ne l'a pas corrigée. Après l'attaque, Nomad a indiqué que son objectif était d'identifier les comptes impliqués et de tracer et récupérer les fonds.
Nomad est un protocole de pont permettant le transfert de jetons de cryptomonnaie entre différentes blockchains. En effet, toutes les blockchains se développent dans des environnements isolés et ont des règles et des mécanismes de consensus différents. Cela signifie qu'elles ne peuvent pas communiquer de manière native et que les jetons ne peuvent pas circuler librement entre les blockchains. Ainsi, les ponts existent pour connecter les blockchains, permettant le transfert d'informations et de jetons entre elles. Les ponts entre les blockchains fonctionnent exactement comme les ponts que nous connaissons dans le monde physique.
Tout comme un pont réel relie deux endroits physiques, un pont dans l'espace DeFi relie deux écosystèmes de blockchain. Les ponts facilitent la communication entre les blockchains par le transfert d'informations et d'actifs. Nomad se décrit comme un protocole d'interopérabilité optimiste qui permet une communication interblockchain sécurisée. Mais au début de la semaine, la plateforme a été vidée de ses jetons qui valent théoriquement 190,7 millions de dollars s'ils sont échangés contre des dollars américains. Nomad a reconnu l'exploit dans un tweet lundi soir, appelant les clients au calme et indiquant qu'une enquête est en cours.
« Nous sommes conscients de l'incident impliquant le pont de jetons Nomad. Nous enquêtons actuellement et fournirons des mises à jour lorsque nous les aurons. Nous travaillons 24 heures sur 24 pour remédier à la situation et nous avons informé les forces de l'ordre et fait appel à des entreprises de premier plan dans le domaine de l'intelligence et de la criminalistique des blockchains. Notre objectif est d'identifier les comptes impliqués et de tracer et récupérer les fonds », a déclaré Nomad dans un fil de discussion mardi sur Twitter. Jusque-là, Nomad n'a pas donné une explication sur la façon dont l'attaque a été orchestrée.
Cependant, un chercheur en sécurité de Paradigm portant le pseudonyme "samczsun" sur Twitter a déclaré que Nomad a été exploité à la suite d'un bogue dans ce que l'on appelle un "contrat intelligent". Comme par hasard, ce bogue semble avoir été cité parmi un certain nombre de failles identifiées dans un audit de sécurité du code de Nomad datant du 6 juin 2022. Identifié sous le nom de "QSP-19 Proving With An Empty Leaf", le rapport de l'audit signale un contrôle de validation qui accepte une valeur "bytes32" vide et recommande ce qui suit : "confirmer que l'entrée _leaf de la fonction Replica.sol:prove n'est pas vide."
La réponse de Nomad à cette recommandation a été de la rejeter, ce à quoi l'auditeur a répondu : « nous pensons que l'équipe de Nomad a mal compris la question ». Le code insuffisamment validé semble résider dans la fonction process() du Nomad ERC20 Bridge Contract (Replica.sol:process), dans une partie du programme qui a un objectif similaire à celui de la fonction prove() citée dans le rapport d'audit. Elle est censée accepter une valeur d'entrée et voir si elle fait partie d'un arbre de Merkle, une structure de données arborescente qui stocke les valeurs de données hachées dans ses nœuds de feuille.
Le code est censé vérifier les messages pour voir s'ils contiennent une racine de Merkle valide. Mais l'équipe Nomad a apparemment initialisé la racine de confiance avec la valeur 0x00, ce qui a eu pour effet de valider chaque message. Le piratage rendu possible par cette erreur de codage s'est avéré si simple que les experts en sécurité de la blockchain ont décrit l'exploit comme une "mêlée générale". Selon eux, toute personne ayant connaissance de l'exploit et de son fonctionnement pouvait profiter de la faille et retirer un certain nombre de jetons de Nomad. D'ailleurs, il a été signalé que des dizaines d'adresses ont participé au vol.
« C'est la raison pour laquelle le piratage a été si chaotique. Vous n'aviez pas besoin de connaître Solidity, les arbres de Merkle ni quoi que ce soit d'autre. Tout ce que vous aviez à faire était de trouver une transaction qui a fonctionné, de trouver/remplacer l'adresse de l'autre personne par la vôtre, puis de la relancer », a expliqué "samczsun". Ce dernier a décrit l'exploit comme "l'un des piratages les plus chaotiques que Web3 ait jamais vus" - Web3 étant une future itération hypothétique d'Internet construite autour de la technologie blockchain. Mais le Web3 ne fait pas l'unanimité, certains le considérant comme un simple "buzzword".
Entre-temps, Nomad espère récupérer au moins une partie des jetons volés, en partant du principe que certains des voleurs se sont livré à un chapardage protecteur pour épuiser les fonds afin que les personnes moins charitables n'en aient pas. Fidèle à son qualificatif d'"optimiste", Nomad a remercié "ces utilisateurs bienveillants qui auraient agi de manière proactive pour protéger les fonds". Par ailleurs, Nomad n'est pas le premier pont de l'espace DeFi qui a été piraté et vidé de ses fonds au cours des derniers. Cinq de ces ponts ont récemment été piratés, représentant plus d'un milliard de dollars de pertes pour les investisseurs.
Des vulnérabilités et une mauvaise conception ont fait des ponts une cible de choix pour les pirates qui cherchent à escroquer des millions aux investisseurs. En avril, un pont appelé Ronin a perdu 600 millions de dollars en cryptomonnaies. Les responsables américains ont attribué le piratage à l'État nord-coréen. Quelques mois plus tard, Harmony, un autre pont, a été vidé de 100 millions de dollars dans une attaque similaire. Il a également eu les piratages de : Qubit Bridge (80 millions de dollars) ; Wormhole Bridge (320 millions) ; Meter.io Bridge (4,4 millions) ; et Poly Network Bridge (610 millions qui auraient été rendus).
Comme Ronin et Harmony, Nomad était visé par une faille dans son code, mais il y avait quelques différences. Avec ces attaques, les pirates ont pu récupérer les clés privées nécessaires pour prendre le contrôle du réseau et commencer à distribuer des jetons. Dans le cas de Nomad, c'était beaucoup plus simple que cela. Une mise à jour de routine du pont a permis aux utilisateurs de falsifier des transactions et de s'emparer de millions de dollars en cryptomonnaies.
Sources : samczsun, Nomad, Rapport de l'audit du code de Nomad
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de la vulnérabilité exploitée par les pirates de Nomad ?
:fleche: Que pensez-vous de la finance décentralisée (DiFi) ? Ses avantages l'emportent-ils sur les inconvénients ?
Voir aussi
:fleche: L'utilisation des cryptomonnaies est plus répandue dans les pays corrompus, d'après une récente étude du FMI
:fleche: Christine Lagarde préoccupée par le rôle du Bitcoin dans la facilitation des activités criminelles, la présidente de la Banque centrale européenne voudrait une régulation mondiale de la cryptomonnaie
:fleche: La catastrophe du marché des cryptomonnaies a fait perdre plus de 1 000 milliards de dollars de capitalisation boursière, le bitcoin chute de 9,3 % à 36 955 $
:fleche: Bill Gates affirme que les cryptomonnaies et les NFT sont une imposture "basée à 100 % sur la théorie du plus grand fou", ajoutant que ces actifs sont voraces en énergie et nuisent à l'environnement
2 pièce(s) jointe(s)
Le volume des transactions sur la première place de marché de NFT, OpenSea, a baissé de 99 %
Le volume des transactions sur la première place de marché de NFT, OpenSea, a baissé de 99 % depuis le mois de mai
ce qui indique que la bulle NFT continue à se résorber
La décadence du marché des actifs cryptographiques se poursuit, en particulier le marché des jetons non fongibles (NFT). OpenSea, la plus grande place de marché de NFT au monde, a connu une baisse substantielle du volume quotidien des transactions au cours de ce mois. Dimanche, OpenSea a traité 9,34 millions de dollars de transactions NFT, soit environ 99 % de moins que son record de 2,7 milliards de dollars le 1er mai. Sur une base mensuelle, le volume des transactions a chuté de 90 % par rapport au pic d'environ 4,85 milliards de dollars atteint en janvier 2022. Parallèlement, les prix des cryptomonnaies sont également en chute libre.
Il est indéniable que les NFT ont pris un coup ces derniers mois. Les conditions du marché ont plongé, les escroqueries et les piratages sont fréquents, et le nombre de projets de mauvaise qualité ne cesse d'augmenter, ce qui pousse beaucoup de gens à remettre en question la valeur des NFT et leur place dans le Web3. Et même des projets populaires comme le Bored Ape Yacht Club (BAYC) ont pris un coup, avec des prix plancher tombant sous les 100 000 dollars cette année. Le fort intérêt suscité par les NFT en 2021 a créé la condition idéale pour une appréciation spectaculaire des prix. Mais ils sont retombés de façon encore plus spectaculaire.
Ainsi, le volume de transactions sur OpenSea est en baisse de 99 % en un peu moins de quatre mois. Selon des données compilées par DappRadar, le 1er mai, OpenSea a traité un record de 2,7 milliards de dollars de transactions NFT, mais dimanche, la place de marché n'a enregistré que 9,34 millions de dollars. La baisse massive du volume des transactions sur les marchés de NFT a coïncidé avec une chute en piqué des prix des cryptomonnaies. La cryptomonnaie la plus populaire, le bitcoin, a baissé de plus de 60 % depuis le début de l'année pour atteindre 19 728 dollars ce jour. L'ETH a chuté d'environ 59 %, à 1 528 dollars, sur la même période.
Les baisses massives des volumes quotidiens et mensuels ont coïncidé avec des baisses tout aussi drastiques des utilisateurs d'OpenSea et de leurs transactions. Cela suggère que la valeur et l'intérêt des objets de collection basés sur la blockchain ont diminué au cours des derniers mois. Cela est encore plus visible dans la chute des prix planchers - le montant minimum que l'on est prêt à payer pour un NFT - des principaux projets de pièces de collection numériques. Par exemple, le prix plancher des NFT de la collection Bored Ape Yacht Club a chuté de 53 % à 72,5 ETH (environ 110 000 dollars) lundi, contre un sommet de 153,7 ETH le 1er mai.
De plus, le prix plancher de CryptoPunks, une autre collection de NFT populaire, a chuté de près de 20 % par rapport à son sommet de juillet de 83,72 ETH. En effet, les prix des NFT sont cotés dans la monnaie native de la blockchain sur laquelle ils sont lancés. Ainsi, un objet de collection numérique créé sur Ethereum est acheté en Ether, ce qui signifie également que les prix des NFT baisseront si la valorisation de l'ETH s'effondre. Un marché ETH baissier semble être l'un des principaux facteurs à l'origine des mauvaises statistiques NFT. Le prix d'un ETH est passé de 4 950 dollars en novembre 2021 à moins de 1 500 dollars en août 2022.
Après la publication de ces statistiques, un porte-parole d'OpenSea a déclaré que la société n'était pas d'accord avec la méthodologie de DappRadar, notant que l'écart de 99 % comparait le jour de négociation le plus élevé de tous les temps de la plateforme avec l'un de ses plus bas. Mais selon la mesure proposée par OpenSea - le volume des transactions, qui ne tient pas compte des effets des fluctuations des prix des cryptomonnaies - les échanges sont toujours en forte baisse. Selon Dune Analytics, une plateforme de suivi des cryptomonnaies, le volume mensuel a chuté de 62 % entre mai et juillet, et devrait encore baisser en août.
Le porte-parole a ajouté qu'OpenSea ne s'inquiète pas de la baisse du volume des échanges. « Nous jouons sur le long terme parce que nous voyons ce qui est possible, donc nous ne sommes pas si préoccupés par la volatilité à court terme. Nous nous sommes toujours attendus à de l'écume, de la hype et de la déflation à mesure que la communauté et les cas d'utilisation évoluent, que la technologie devient plus sophistiquée et que les créateurs comprennent comment intégrer plus d'utilité dans leurs projets », a déclaré le porte-parole. La baisse des cryptomonnaies a laissé de nombreux inventeurs particuliers sur le carreau.
Une étude de Pew Research Center a révélé la semaine dernière que 46 % des Américains qui avaient placé de l'argent dans les cryptomonnaies ont déclaré que leurs investissements n'avaient pas répondu à leurs attentes. Bien que les cryptomonnaies soient devenues de plus en plus importantes au cours de l'année écoulée, Pew Research Center a constaté que seulement 16 % des adultes américains avaient investi dans ces actifs numériques, soit presque le même nombre qui a déclaré avoir investi en septembre dernier. Enfin, les conditions du marché sont également liées à l'évolution de l'écosystème.
Ce dernier doit faire face à une fraude endémique et une sursaturation du contenu, entraînant une inquiétude accrue pour les parties déjà impliquées dans l'espace, et une hésitation pour les consommateurs et les entreprises qui cherchaient à entrer dans l'espace. Selon les partisans des cryptomonnaies, il s'agit d'une partie naturelle de l'évolution de l'espace NFT. Une surspéculation suivie d'une lutte contre la réalité est non seulement prévisible, mais nécessaire pour que l'on prenne des mesures et remédie aux problèmes actuels afin de garantir que ces actifs numériques puissent continuer à croître et à prospérer.
Cependant, alors que les escroqueries et les piratages provoquent méfiance et malaise, le nombre croissant de projets de mauvaise qualité a entraîné une sursaturation générale du marché des NFT. Les gens en ont assez d'entendre parler des NFT qui n'ont aucune valeur artistique ou aucune utilité tangible. Dans un marché surpeuplé, il devient difficile de déterminer quels projets ou collections valent la peine d'être financés. Là encore, les partisans des cryptomonnaies estiment que le bon côté des choses, c'est que le ralentissement du marché est en train d'éliminer certains des projets de NFT ayant une faible qualité.
Selon eux, les projets seront obligés de tenir leurs promesses, de modifier leurs stratégies pour rester compétitifs et de mieux répondre aux besoins de leur public. En attendant, le volume des ventes de NFT et les prix des cryptomonnaies continuent à baisser, un ralentissement qui a été surnommé "hiver cryptographique". Le marché des NFT et des cryptomonnaies s'est fortement résorbé depuis le début de l'année, faisant perdre des millions de dollars aux investisseurs.
Source : DappRadar
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de la baisse drastique du volume des transactions sur OpenSea ?
:fleche: Pensez-vous que le marché des NFT va continuer à chuter ? Va-t-il se stabiliser ou disparaître ?
Voir aussi
:fleche: Les ventes de NFT pour le mois de juin 2022 ont atteint un peu plus d'un milliard de dollars, leur plus bas niveau depuis 12 mois, dans un contexte d'effondrement des cryptomonnaies
:fleche: « Il est difficile pour une personne moyenne de concevoir à quel point les NFT sont inutiles », selon Holden Shearer, un concepteur de jeux vidéo
:fleche: 50 % des transactions étaient frauduleuses lorsque Steam acceptait les paiements en bitcoins, selon Gabe Newell, président de Valve
:fleche: Le fondateur de la conférence NFT "VeeCon" prévoit que 97 % des projets actuels perdront de leur valeur d'ici 2024, alors que le marché des cryptomonnaies et des NFT continue de s'effondrer
:fleche: Bill Gates affirme que les cryptomonnaies et les NFT sont une imposture "basée à 100 % sur la théorie du plus grand fou", ajoutant que ces actifs sont voraces en énergie et nuisent à l'environnement