Hacker com dinheiro nas mãos
Shutterstock

Em um dos maiores hacks desde a invasão à sidechain (ou blockchain paralela) Ronin do jogo Axie Infinity em março, um ataque à bridge de tokens Nomad permitiu que invasores roubassem quase US$ 190 milhões, o equivalente a quase R$ 1 bilhão.

A empresa de segurança PeckShield contou ao Decrypt que os fundos roubados estavam denominados em ETH, USDC, DAI, FXS e CQT.

Publicidade

“Estamos cientes do incidente envolvendo a bridge de tokens Nomad. Neste momento, estamos investigando e forneceremos atualizações quando as tivermos”, tuitou a Nomad na noite de segunda-feira (1º).

A bridge Nomad é um protocolo que permite que usuários movimentem ativos digitais entre diferentes blockchains, incluindo Avalanche, Ethereum, Evmos, Milkomeda C1 e Moonbeam.

O valor total bloqueado (ou TVL) na Nomad despencou conforme fundos foram roubados do protocolo (Imagem: DeFi Llama)

Embora não haja muitos detalhes sobre a invasão, alguns destacam um erro de configuração em um contrato autônomo usado pela Nomad para processar mensagens como uma possível causa, permitindo que milhões fossem roubados do pool de liquidez da Nomad.

“Tudo começou quando @officer_cia compartilhou o tuíte de @spreekaway no canal do ETHSecurity no Telegram”, explicou Sam Sun, um pesquisador da empresa de investimentos cripto Paradigm. “Apesar de eu não ter entendido o que estava acontecendo naquele momento, apenas o enorme volume de ativos deixando a bridge realmente era um mau presságio.”

Publicidade

“Parece que, durante uma atualização de rotina, a equipe da Nomad inicializou o root de confiança em 0x00. Para deixar claro, usar valores nulos como valores de inicialização é algo comum. Infelizmente, neste caso, houve um pequeno efeito adverso em que cada mensagem foi autoaprovada”, acrescentou.

O ataque à bridge Nomad foi uma “loucura gratuita para todos”

Sun comparou o que aconteceu a “uma loucura gratuita para todos” porque não era necessário ter muito conhecimento técnico para se aproveitar da falha.

“Você não precisaria saber sobre Solidity [a linguagem de programação do Ethereum], Árvores de Merkle [estrutura de dados em criptografia] ou algo do tipo”, afirmou Sun. “Tudo o que você precisava fazer era encontrar uma transação que funcionasse, achar/substituir o endereço da outra pessoa com o seu e retransmiti-lo.”

Da mesma forma, a empresa de segurança em blockchain Certik informou que invasores podiam se aproveitar da falha ao simplesmente copiar e colar as transações.

Publicidade

A empresa acrescentou que pessoas podiam tirar proveito da atualização “ao copiar o ‘calldata’ [dados fornecidos em solicitação a um contrato autônomo] da transação original do hacker e substituir o endereço original com um endereço pessoal”.

Dessa forma, a bridge perdeu quase todos os seus fundos.

“A bridge Nomad foi invadida de uma forma similar à QBridge da Qubit”, tuitou o engenheiro de segurança do a16z, Matt Gleason. “Uma configuração insegura da bridge fez com que um caminho específico permitisse que qualquer transação fosse enviada. O erro está dentro da função ‘process’ da Replica.”

“O sistema irá aceitar qualquer mensagem que nunca registrou antes e processá-la como se fosse legítima, ou seja, tudo o que você precisa fazer é pedir por todo o dinheiro da bridge e você o conseguirá”, acrescentou ele.

De acordo com a Comissão Federal de Comércio (ou FTC), parece que ciberataques contra projetos cripto não vão diminuir, pois mais de US$ 1 bilhão em criptomoedas foram roubadas desde 2021.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!

Publicidade
VOCÊ PODE GOSTAR
Imagem da matéria: Sbaraini: empresa suspeita de fraude cripto tenta anular inquérito policial no STJ

Sbaraini: empresa suspeita de fraude cripto tenta anular inquérito policial no STJ

Sócios da Sbaraini, alvos da Operação Ouranós da PF, tentam se livrar das investigações argumentando que o inquérito teve início de forma ilegal
Imagem da matéria: Michael Saylor prevê Bitcoin a US$ 100 mil até fim do ano e já planeja festa

Michael Saylor prevê Bitcoin a US$ 100 mil até fim do ano e já planeja festa

O fundador da MicroStrategy afirmou que está planejando uma festa de Ano Novo para celebrar a previsão de que o Bitcoin chegará a US$ 100 mil
Imagem da matéria: Drex quer trazer simplicidade do mercado cripto para toda população, diz diretor do BC

Drex quer trazer simplicidade do mercado cripto para toda população, diz diretor do BC

Fábio Araújo afirma que objetivo final do Drex é facilitar o acesso a serviços financeiros para a população
Imagem da matéria: Brasileiro vai parar no hospital por estresse após perder carteira com R$ 2 milhões em Bitcoin

Brasileiro vai parar no hospital por estresse após perder carteira com R$ 2 milhões em Bitcoin

O youtuber e pianista vendeu Bitcoin na baixa, comprou outros 4 BTC na alta e, posteriormente, perdeu o acesso à carteira