Hacker com dinheiro nas mãos
Shutterstock

Em um dos maiores hacks desde a invasão à sidechain (ou blockchain paralela) Ronin do jogo Axie Infinity em março, um ataque à bridge de tokens Nomad permitiu que invasores roubassem quase US$ 190 milhões, o equivalente a quase R$ 1 bilhão.

A empresa de segurança PeckShield contou ao Decrypt que os fundos roubados estavam denominados em ETH, USDC, DAI, FXS e CQT.

Publicidade

“Estamos cientes do incidente envolvendo a bridge de tokens Nomad. Neste momento, estamos investigando e forneceremos atualizações quando as tivermos”, tuitou a Nomad na noite de segunda-feira (1º).

A bridge Nomad é um protocolo que permite que usuários movimentem ativos digitais entre diferentes blockchains, incluindo Avalanche, Ethereum, Evmos, Milkomeda C1 e Moonbeam.

O valor total bloqueado (ou TVL) na Nomad despencou conforme fundos foram roubados do protocolo (Imagem: DeFi Llama)

Embora não haja muitos detalhes sobre a invasão, alguns destacam um erro de configuração em um contrato autônomo usado pela Nomad para processar mensagens como uma possível causa, permitindo que milhões fossem roubados do pool de liquidez da Nomad.

“Tudo começou quando @officer_cia compartilhou o tuíte de @spreekaway no canal do ETHSecurity no Telegram”, explicou Sam Sun, um pesquisador da empresa de investimentos cripto Paradigm. “Apesar de eu não ter entendido o que estava acontecendo naquele momento, apenas o enorme volume de ativos deixando a bridge realmente era um mau presságio.”

Publicidade

“Parece que, durante uma atualização de rotina, a equipe da Nomad inicializou o root de confiança em 0x00. Para deixar claro, usar valores nulos como valores de inicialização é algo comum. Infelizmente, neste caso, houve um pequeno efeito adverso em que cada mensagem foi autoaprovada”, acrescentou.

O ataque à bridge Nomad foi uma “loucura gratuita para todos”

Sun comparou o que aconteceu a “uma loucura gratuita para todos” porque não era necessário ter muito conhecimento técnico para se aproveitar da falha.

“Você não precisaria saber sobre Solidity [a linguagem de programação do Ethereum], Árvores de Merkle [estrutura de dados em criptografia] ou algo do tipo”, afirmou Sun. “Tudo o que você precisava fazer era encontrar uma transação que funcionasse, achar/substituir o endereço da outra pessoa com o seu e retransmiti-lo.”

Da mesma forma, a empresa de segurança em blockchain Certik informou que invasores podiam se aproveitar da falha ao simplesmente copiar e colar as transações.

Publicidade

A empresa acrescentou que pessoas podiam tirar proveito da atualização “ao copiar o ‘calldata’ [dados fornecidos em solicitação a um contrato autônomo] da transação original do hacker e substituir o endereço original com um endereço pessoal”.

Dessa forma, a bridge perdeu quase todos os seus fundos.

“A bridge Nomad foi invadida de uma forma similar à QBridge da Qubit”, tuitou o engenheiro de segurança do a16z, Matt Gleason. “Uma configuração insegura da bridge fez com que um caminho específico permitisse que qualquer transação fosse enviada. O erro está dentro da função ‘process’ da Replica.”

“O sistema irá aceitar qualquer mensagem que nunca registrou antes e processá-la como se fosse legítima, ou seja, tudo o que você precisa fazer é pedir por todo o dinheiro da bridge e você o conseguirá”, acrescentou ele.

De acordo com a Comissão Federal de Comércio (ou FTC), parece que ciberataques contra projetos cripto não vão diminuir, pois mais de US$ 1 bilhão em criptomoedas foram roubadas desde 2021.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!

Publicidade
VOCÊ PODE GOSTAR
Imagem da matéria: Machado Meyer Advogados entra para associação ABcripto

Machado Meyer Advogados entra para associação ABcripto

O escritório ingressa na associação para dar ainda mais relevância à assessoria jurídica na formatação de transações financeiras para o desenvolvimento do ecossistema cripto no país
Imagem da matéria: Solana lança atualização para aliviar problema de congestionamento da rede

Solana lança atualização para aliviar problema de congestionamento da rede

“Esta versão contém melhorias que ajudarão a aliviar o congestionamento contínuo na Rede Solana”, afirmou a conta de atualização do projeto
Imagem da matéria: Reserva de Bitcoin de mineradores bate mínima em três anos com vendas antes do halving

Reserva de Bitcoin de mineradores bate mínima em três anos com vendas antes do halving

Diferente do que aconteceu antes do halving de 2020, desta vez os mineradores aproveitaram a recente disparada do Bitcoin para vender parte de suas reservas
Imagem da matéria: Manhã Cripto: Bitcoin sobe 4% e Ethereum salta 7% puxados por ETFs em Hong Kong e alívio de tensões no Oriente Médio

Manhã Cripto: Bitcoin sobe 4% e Ethereum salta 7% puxados por ETFs em Hong Kong e alívio de tensões no Oriente Médio

Após forte queda no fim de semana, Bitcoin e Ethereum voltam a ganhar força com notícias de que Hong Kong aprovou ETFs das criptomoedas