Hacker com dinheiro nas mãos
Shutterstock

Em um dos maiores hacks desde a invasão à sidechain (ou blockchain paralela) Ronin do jogo Axie Infinity em março, um ataque à bridge de tokens Nomad permitiu que invasores roubassem quase US$ 190 milhões, o equivalente a quase R$ 1 bilhão.

A empresa de segurança PeckShield contou ao Decrypt que os fundos roubados estavam denominados em ETH, USDC, DAI, FXS e CQT.

Publicidade

“Estamos cientes do incidente envolvendo a bridge de tokens Nomad. Neste momento, estamos investigando e forneceremos atualizações quando as tivermos”, tuitou a Nomad na noite de segunda-feira (1º).

A bridge Nomad é um protocolo que permite que usuários movimentem ativos digitais entre diferentes blockchains, incluindo Avalanche, Ethereum, Evmos, Milkomeda C1 e Moonbeam.

O valor total bloqueado (ou TVL) na Nomad despencou conforme fundos foram roubados do protocolo (Imagem: DeFi Llama)

Embora não haja muitos detalhes sobre a invasão, alguns destacam um erro de configuração em um contrato autônomo usado pela Nomad para processar mensagens como uma possível causa, permitindo que milhões fossem roubados do pool de liquidez da Nomad.

“Tudo começou quando @officer_cia compartilhou o tuíte de @spreekaway no canal do ETHSecurity no Telegram”, explicou Sam Sun, um pesquisador da empresa de investimentos cripto Paradigm. “Apesar de eu não ter entendido o que estava acontecendo naquele momento, apenas o enorme volume de ativos deixando a bridge realmente era um mau presságio.”

Publicidade

“Parece que, durante uma atualização de rotina, a equipe da Nomad inicializou o root de confiança em 0x00. Para deixar claro, usar valores nulos como valores de inicialização é algo comum. Infelizmente, neste caso, houve um pequeno efeito adverso em que cada mensagem foi autoaprovada”, acrescentou.

O ataque à bridge Nomad foi uma “loucura gratuita para todos”

Sun comparou o que aconteceu a “uma loucura gratuita para todos” porque não era necessário ter muito conhecimento técnico para se aproveitar da falha.

“Você não precisaria saber sobre Solidity [a linguagem de programação do Ethereum], Árvores de Merkle [estrutura de dados em criptografia] ou algo do tipo”, afirmou Sun. “Tudo o que você precisava fazer era encontrar uma transação que funcionasse, achar/substituir o endereço da outra pessoa com o seu e retransmiti-lo.”

Da mesma forma, a empresa de segurança em blockchain Certik informou que invasores podiam se aproveitar da falha ao simplesmente copiar e colar as transações.

Publicidade

A empresa acrescentou que pessoas podiam tirar proveito da atualização “ao copiar o ‘calldata’ [dados fornecidos em solicitação a um contrato autônomo] da transação original do hacker e substituir o endereço original com um endereço pessoal”.

Dessa forma, a bridge perdeu quase todos os seus fundos.

“A bridge Nomad foi invadida de uma forma similar à QBridge da Qubit”, tuitou o engenheiro de segurança do a16z, Matt Gleason. “Uma configuração insegura da bridge fez com que um caminho específico permitisse que qualquer transação fosse enviada. O erro está dentro da função ‘process’ da Replica.”

“O sistema irá aceitar qualquer mensagem que nunca registrou antes e processá-la como se fosse legítima, ou seja, tudo o que você precisa fazer é pedir por todo o dinheiro da bridge e você o conseguirá”, acrescentou ele.

De acordo com a Comissão Federal de Comércio (ou FTC), parece que ciberataques contra projetos cripto não vão diminuir, pois mais de US$ 1 bilhão em criptomoedas foram roubadas desde 2021.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!

Publicidade
VOCÊ PODE GOSTAR
Imagem da matéria: Manhã Cripto: XRP desaba 11,4% após SEC recorrer em processo contra Ripple

Manhã Cripto: XRP desaba 11,4% após SEC recorrer em processo contra Ripple

“Se Gary Gensler e a SEC fossem racionais, eles teriam abandonado este caso há muito tempo”, disse CEO da Ripple
Imagem da matéria: Vencimento de US$ 5,8 bilhões em opções de Bitcoin pode trazer alta volatilidade nesta sexta

Vencimento de US$ 5,8 bilhões em opções de Bitcoin pode trazer alta volatilidade nesta sexta

90 mil contratos de opções de Bitcoin vão vencer nesta sexta-feira; entenda como isso pode impactar o mercado
Imagem da matéria: Bitcoin e ouro podem se beneficiar de crescente tensão geopolítica, diz JPMorgan

Bitcoin e ouro podem se beneficiar de crescente tensão geopolítica, diz JPMorgan

Tensão geopolítica e aproximação das eleições nos EUA podem impulsionar o que os analistas chamam de “comércio de desvalorização”
CEO do JPMorgan, Jamie Dimon, é fotografado

CEO do JPMorgan se gaba de banco ser um dos maiores usuários “reais” de blockchain

Jamie Dimon disse que seu banco é um dos “maiores” usuários do blockchain, mas ele ainda odeia o Bitcoin