Malheureusement, c’est un nouvel entrant bientôt sur le leaderboard de Rekt, le site qui répertorie les plus gros hacks en crypto.
Le hacker serait reparti avec tous les fonds de Nomad, un bridge erc20-evmos, soit 190,7 millions de dollars. La première transaction a été faite à 10h30 heure française quand 100 wrapped bitcoin (wbtc) valant 2,3 millions ont été sortis de Nomad, provoquant instantanément une alerte chez ceux qui surveillent les grands mouvements de blockchains.
Comme toujours, les investigateurs blockchains commencent tout juste à retrouver toutes les pièces du puzzle. Ce qui n’était par exemple pas du tout classique, c’est qu’une centaine d’adresses ont reçu des fonds du bridge. L’utilisateur @Samczsun semble avoir trouvé le fin mot de l’histoire et ce hack n’est vraiment pas classique. Et en même temps même pas si complexe… l’histoire est comme toujours, folle.
Car la vulnérabilité ne nécessitait pas d’algorithme complexe de boucle, non, une seule transaction… et cette transaction initiale du hacker a pu être dupliqué par d’autres utilisateurs du réseau : il suffisait de copier les datas (accessibles par tout le monde) de la transaction du hacker pour reproduire son hack : incroyable, car le nombre de personnes ayant profité de la curée est bien plus important qu’un hack classique.
Un fil twitter explique plus en détail le hack
🚨Explaining the Nomad bridge hack 🚨
All credit to @samczsun for doing the heavy lifting of diagnosing the precise vulnerability in his postmortem
How did we get the first decentralized crowd-looting of a 9-figure bridge in history? pic.twitter.com/v5u6mrKQv1
— foobar (@0xfoobar) August 2, 2022
Encore plus fou ? La vulnérabilité se trouvait dans le dernier audit de sécurité effectué sur le code de la plateforme ! C’est à dire qu’elle était en fait dans la liste des bugs à traiter : mais il n’était apparemment pas prioritaire pour la team qui ne voyait pas ce bug comme pouvant mener à un hack des fonds.
Cette attaque se produit alors qu’il y a seulement quelques jours Nomad avait révélé la liste des investisseurs qui avait pris part à la capitalisation de Nomad pour 22 millions de dollars. Des noms bien connus comme Polychain Capital, Wintermute, Coinbase Ventures. Une perte sèche pour ceux ci à priori donc.

Ici la valeur maximale atteinte sur Huobi pour Evmos
Conséquence visible et immédiate ? Le token EVMOS pouvait se vendre jusqu’à 3,92$ sur les exchanges pendant la nuit. Il faut ici préciser que les assets qui ont été drainés sont les “wrapped assets” liés à Nomad sur la blockchain Evmos, pas le token Evmos lui même. Mais il a fallu du temps aux indicateurs de prix pour s’adapter à cet influx de token. A l’heure où nous parlons le token Evmos se négocie sur les exchanges à 1,5$ sa valeur d’hier.
Beaucoup de questions se posent quand à la valorisation de Evmos, même s’il faut bien comprendre que la blockchain n’est pas ici en cause mais bien le bridge Nomad qui est un projet privé utilisant cette blockchain.
Pour pousser la réflexion plus loin, on peut se rappeler d’un topic reddit de Vitalik Buterin (qui n’est ni plus ni moins le créateur de la blockchain Ethereum, un vrai visionnaire d’après notre équipe !) :
My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty". From https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
— vitalik.eth (@VitalikButerin) January 7, 2022
Pour lui le futur était indubitablement multichain et non pas crosschain en raison des vulnérabilités inhérentes à la création des bridges, une cible de choix pour les hackers, comme démontré encore aujourd’hui. Live & learn…