Hacker com dinheiro nas mãos
Shutterstock

Em um dos maiores hacks desde a invasão à sidechain (ou blockchain paralela) Ronin do jogo Axie Infinity em março, um ataque à bridge de tokens Nomad permitiu que invasores roubassem quase US$ 190 milhões, o equivalente a quase R$ 1 bilhão.

A empresa de segurança PeckShield contou ao Decrypt que os fundos roubados estavam denominados em ETH, USDC, DAI, FXS e CQT.

Publicidade

“Estamos cientes do incidente envolvendo a bridge de tokens Nomad. Neste momento, estamos investigando e forneceremos atualizações quando as tivermos”, tuitou a Nomad na noite de segunda-feira (1º).

A bridge Nomad é um protocolo que permite que usuários movimentem ativos digitais entre diferentes blockchains, incluindo Avalanche, Ethereum, Evmos, Milkomeda C1 e Moonbeam.

O valor total bloqueado (ou TVL) na Nomad despencou conforme fundos foram roubados do protocolo (Imagem: DeFi Llama)

Embora não haja muitos detalhes sobre a invasão, alguns destacam um erro de configuração em um contrato autônomo usado pela Nomad para processar mensagens como uma possível causa, permitindo que milhões fossem roubados do pool de liquidez da Nomad.

“Tudo começou quando @officer_cia compartilhou o tuíte de @spreekaway no canal do ETHSecurity no Telegram”, explicou Sam Sun, um pesquisador da empresa de investimentos cripto Paradigm. “Apesar de eu não ter entendido o que estava acontecendo naquele momento, apenas o enorme volume de ativos deixando a bridge realmente era um mau presságio.”

Publicidade

“Parece que, durante uma atualização de rotina, a equipe da Nomad inicializou o root de confiança em 0x00. Para deixar claro, usar valores nulos como valores de inicialização é algo comum. Infelizmente, neste caso, houve um pequeno efeito adverso em que cada mensagem foi autoaprovada”, acrescentou.

O ataque à bridge Nomad foi uma “loucura gratuita para todos”

Sun comparou o que aconteceu a “uma loucura gratuita para todos” porque não era necessário ter muito conhecimento técnico para se aproveitar da falha.

“Você não precisaria saber sobre Solidity [a linguagem de programação do Ethereum], Árvores de Merkle [estrutura de dados em criptografia] ou algo do tipo”, afirmou Sun. “Tudo o que você precisava fazer era encontrar uma transação que funcionasse, achar/substituir o endereço da outra pessoa com o seu e retransmiti-lo.”

Da mesma forma, a empresa de segurança em blockchain Certik informou que invasores podiam se aproveitar da falha ao simplesmente copiar e colar as transações.

Publicidade

A empresa acrescentou que pessoas podiam tirar proveito da atualização “ao copiar o ‘calldata’ [dados fornecidos em solicitação a um contrato autônomo] da transação original do hacker e substituir o endereço original com um endereço pessoal”.

Dessa forma, a bridge perdeu quase todos os seus fundos.

“A bridge Nomad foi invadida de uma forma similar à QBridge da Qubit”, tuitou o engenheiro de segurança do a16z, Matt Gleason. “Uma configuração insegura da bridge fez com que um caminho específico permitisse que qualquer transação fosse enviada. O erro está dentro da função ‘process’ da Replica.”

“O sistema irá aceitar qualquer mensagem que nunca registrou antes e processá-la como se fosse legítima, ou seja, tudo o que você precisa fazer é pedir por todo o dinheiro da bridge e você o conseguirá”, acrescentou ele.

De acordo com a Comissão Federal de Comércio (ou FTC), parece que ciberataques contra projetos cripto não vão diminuir, pois mais de US$ 1 bilhão em criptomoedas foram roubadas desde 2021.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!

Publicidade
VOCÊ PODE GOSTAR
Scott Bessent fala em auditório nos EUA - stablecoins

Mercado de stablecoins dos EUA pode ultrapassar US$ 2 tri em 2028, diz secretário do Tesouro

O secretário do Tesouro dos EUA, Scott Bessent, disse que número é bastante razoável, mas que mercado pode ser maior
Imagem da matéria: Pump.fun e outros projetos cripto da Solana são banidos do X

Pump.fun e outros projetos cripto da Solana são banidos do X

Contas ligadas à Pump.fun, GMGN e outros projetos baseados na Solana foram removidas do X sem aviso, gerando especulações sobre o motivo
michael saylor presidente microstrategy

Por que Michael Saylor não se preocupa com a ameaça quântica ao Bitcoin

O cofundador da Strategy descartou os riscos da computação quântica para o Bitcoin, chamando a ameaça de exagerada e administrável
Imagem da matéria: Sequestradores de investidor de Bitcoin se declaram inocentes: "Vítima estava rindo"

Sequestradores de investidor de Bitcoin se declaram inocentes: “Vítima estava rindo”

Dois homens acusados de sequestrar um investidor de Bitcoin em Nova York se declararam inocentes