Entenda como hackers invadiram o protocolo Nomad e roubaram quase R$ 1 bilhão

Em um dos maiores hacks desde a invasão à sidechain (ou blockchain paralela) Ronin do jogo Axie Infinity em março, um ataque à bridge de tokens Nomad permitiu que invasores roubassem quase US$ 190 milhões, o equivalente a quase R$ 1 bilhão.

A empresa de segurança PeckShield contou ao Decrypt que os fundos roubados estavam denominados em ETH, USDC, DAI, FXS e CQT.

“Estamos cientes do incidente envolvendo a bridge de tokens Nomad. Neste momento, estamos investigando e forneceremos atualizações quando as tivermos”, tuitou a Nomad na noite de segunda-feira (1º).

We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.

— Nomad (⤭⛓🏛) (@nomadxyz_) August 1, 2022

A bridge Nomad é um protocolo que permite que usuários movimentem ativos digitais entre diferentes blockchains, incluindo Avalanche, Ethereum, Evmos, Milkomeda C1 e Moonbeam.

Embora não haja muitos detalhes sobre a invasão, alguns destacam um erro de configuração em um contrato autônomo usado pela Nomad para processar mensagens como uma possível causa, permitindo que milhões fossem roubados do pool de liquidez da Nomad.

“Tudo começou quando @officer_cia compartilhou o tuíte de @spreekaway no canal do ETHSecurity no Telegram”, explicou Sam Sun, um pesquisador da empresa de investimentos cripto Paradigm. “Apesar de eu não ter entendido o que estava acontecendo naquele momento, apenas o enorme volume de ativos deixando a bridge realmente era um mau presságio.”

2/ It all started when @officer_cia shared @spreekaway‘s tweet in the ETHSecurity Telegram channel. Although I had no idea what was going on at the time, just the sheer volume of assets leaving the bridge was clearly a bad sign pic.twitter.com/klHNfthVvj

— samczsun (@samczsun) August 1, 2022

“Parece que, durante uma atualização de rotina, a equipe da Nomad inicializou o root de confiança em 0x00. Para deixar claro, usar valores nulos como valores de inicialização é algo comum. Infelizmente, neste caso, houve um pequeno efeito adverso em que cada mensagem foi autoaprovada”, acrescentou.

O ataque à bridge Nomad foi uma “loucura gratuita para todos”

Sun comparou o que aconteceu a “uma loucura gratuita para todos” porque não era necessário ter muito conhecimento técnico para se aproveitar da falha.

“Você não precisaria saber sobre Solidity [a linguagem de programação do Ethereum], Árvores de Merkle [estrutura de dados em criptografia] ou algo do tipo”, afirmou Sun. “Tudo o que você precisava fazer era encontrar uma transação que funcionasse, achar/substituir o endereço da outra pessoa com o seu e retransmiti-lo.”

Da mesma forma, a empresa de segurança em blockchain Certik informou que invasores podiam se aproveitar da falha ao simplesmente copiar e colar as transações.

A empresa acrescentou que pessoas podiam tirar proveito da atualização “ao copiar o ‘calldata’ [dados fornecidos em solicitação a um contrato autônomo] da transação original do hacker e substituir o endereço original com um endereço pessoal”.

🚨Explaining the Nomad bridge hack 🚨

All credit to @samczsun for doing the heavy lifting of diagnosing the precise vulnerability in his postmortem

How did we get the first decentralized crowd-looting of a 9-figure bridge in history? pic.twitter.com/v5u6mrKQv1

— foobar (@0xfoobar) August 2, 2022

Dessa forma, a bridge perdeu quase todos os seus fundos.

“A bridge Nomad foi invadida de uma forma similar à QBridge da Qubit”, tuitou o engenheiro de segurança do a16z, Matt Gleason. “Uma configuração insegura da bridge fez com que um caminho específico permitisse que qualquer transação fosse enviada. O erro está dentro da função ‘process’ da Replica.”

1/ Nomad’s bridge got owned in a similar manner to Qubit’s QBridge. An insecure configuration of the bridge caused a specific path to allow any transaction sent. The error is inside the Replica’s “process” function.

— mattgleason.eth (@mg_486662) August 2, 2022

“O sistema irá aceitar qualquer mensagem que nunca registrou antes e processá-la como se fosse legítima, ou seja, tudo o que você precisa fazer é pedir por todo o dinheiro da bridge e você o conseguirá”, acrescentou ele.

De acordo com a Comissão Federal de Comércio (ou FTC), parece que ciberataques contra projetos cripto não vão diminuir, pois mais de US$ 1 bilhão em criptomoedas foram roubadas desde 2021.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!