Nomad, une start-up spécialisée dans les cryptomonnaies, a été victime d’un immense piratage qui a mené à l’évaporation de 200 millions de dollars. L’entreprise aurait déployé une mauvaise mise à jour ayant ouvert la porte à n’importe quel hacker étant au courant de la vulnérabilité. Elle tente désormais de recouvrer ses fonds et rembourser ses clients.

Dans le monde des cryptomonnaies, certaines entreprises se positionnent comme « bridge » (ponts), permettant aux investisseurs d’effectuer des transactions en dehors des blockchains et, de facto, échapper aux diverses taxes que ces dernières imposent. Du fait de leur popularité grandissante, ces bridges sont donc des cibles de choix pour les pirates. Selon un rapport d’Elliptic, plus d’un milliard d’euros en cryptomonnaies ont déjà été dérobés depuis ces bridges en 2022. On peut notamment citer le piratage historique du bridge Ronin en avril dernier, qui a mené à l’évaporation de 560 millions d’euros.

Aujourd’hui, une nouvelle victime vient s’ajouter à la liste. Il s’agit de la start-up Nomad, un bridge parmi tant d’autres. Ce mardi 2 août, l’entreprise, qui se présente de manière assez ironique comme une « messagerie sécurisée interchaînes », a confirmé avoir été la cible de pirates. La facture est particulièrement salée : au total, ce sont 200 millions de dollars, soit environ 196 millions d’euros, qui ont disparu dans la nature. « Nous enquêtons actuellement et nous fournirons des mises à jour dès que nous les aurons », a fait savoir la firme.

Nomad perd 196 millions d’euros à cause d’une mauvaise mise à jour

Il est encore difficile d’affirmer avec certitude comment cette attaque a été perpétuée, mais les soupçons se tournent pour le moment vers une mise à jour douteuse déployée par Nomad quelques heures auparavant. En effet, une partie du nouveau code considérait valides toutes les transactions effectuées par les utilisateurs. Concrètement, cela veut dire que n’importe qui ayant connaissance de la faille pouvait retirer à volonté des cryptomonnaies comme sur un distributeur de billets.

Bien entendu, il n’a pas fallu longtemps pour que les pirates déploient une armée de bots pour récupérer une part du butin. « Sans expérience préalable de la programmation, n’importe quel utilisateur pouvait simplement copier les données d’appel de transaction des attaquants originaux et remplacer l’adresse par la leur pour exploiter le protocole », explique Victor Young, fondateur d’Analog.

Sur le même sujet — Bitcoin : un Youtubeur crypto arnaque ses abonnés en leur dérobant 4 millions d’euros

Pour Sam Sun, chercheur chez Paradigm, il s’agit « d’un des piratages les plus chaotiques que le Web3 a jamais connu ». Pour l’heure, on ne sait pas encore si Nomad prévoit de rembourser ses clients. Il semblerait que l’entreprise ait fait appel à des white hats pour l’aider à récupérer une partie de ses fonds disparus.