Contrôle d'accès du Force Bridge de Nervos

Le 2 juin 2025, le Force Bridge — le protocole cross-chain de Nervos Network reliant CKB (Nervos) à Ethereum et BNB Smart Chain — a été exploité pour environ 3,76 millions de dollars. La cause racine était un problème de contrôle d'accès dans la logique du contrat du pont. Les fonds volés ont été rapidement swappés en ETH et routés via Tornado Cash et FixedFloat pour blanchiment.

Ce qui s'est passé

Force Bridge gérait les transferts d'actifs cross-chain entre la chaîne CKB de Nervos et les réseaux compatibles EVM (Ethereum et BNB Chain). Les contrats du pont sur chaque côté EVM détenaient des réserves custodiales d'actifs bridgés ; les retraits cross-chain exigeaient l'autorisation de l'infrastructure d'opérateur du pont.

La vulnérabilité résidait dans le contrôle d'accès gouvernant les opérations privilégiées sur les contrats du pont. Le mécanisme technique exact n'a pas été détaillé exhaustivement publiquement, mais le pattern on-chain était cohérent avec un attaquant ayant obtenu une autorité de signature au niveau opérateur — soit via des clés d'opérateur compromises, soit via une brèche d'infrastructure, soit via une erreur de configuration permettant à des appelants non autorisés d'invoquer des chemins privilégiés.

Détail du drainage :

• ~3,1 millions de dollars sur Ethereum, dont :
  • 257 800 USDT
  • 539 ETH
  • 898 300 USDC
  • 60 400 DAI
  • 0,79 WBTC
• ~600 000 dollars sur BNB Chain (mélange de stablecoins et de BNB).

L'attaquant a converti les actifs volés en ETH via des agrégateurs DEX et a routé les fonds via Tornado Cash et FixedFloat, un exchange connu pour être utilisé dans des opérations de blanchiment.

Conséquences

• Nervos Network a arrêté les opérations du Force Bridge et lancé une enquête avec le soutien des forces de l'ordre.
• Aucune attribution publique de l'acteur de la menace ; le pattern on-chain était cohérent avec des opérations alignées sur un État mais aucune attribution formelle n'a suivi.
• Aucune récupération publique depuis les wallets de l'attaquant.

Pourquoi c'est important

L'incident Force Bridge poursuit le pattern récurrent des vulnérabilités de contrôle d'accès des ponts produisant des pertes DeFi de taille moyenne sur l'ère 2021-2026 :

• ChainSwap (juil. 2021) — lacune d'autorisation de mint du pont sur BSC.
• Qubit Finance (janv. 2022) — acceptation de faux dépôts du pont.
• Nomad (août 2022) — initialisation traitant zéro comme racine valide.
• HECO Bridge (nov. 2023) — compromission de clé opérateur.
• Force Bridge (juin 2025) — contrôle d'accès opérateur.

Dans chaque cas, le modèle de confiance opérateur des ponts cross-chain est la surface d'attaque structurelle. Même quand les contrats sont correctement écrits et les clés opérateurs protégées, l'écart entre « le pont fonctionne correctement sous comportement opérateur prévu » et « le pont ne fonctionne pas de façon adverse sous aucun accès attaquant » est ce que ces incidents exploitent à répétition.

Les réponses défensives — configurations multi-DVN, comités d'attestation avec slashing imposé, designs de ponts à exécution canonique qui ne dépendent pas de signataires — sont progressivement adoptées mais la génération de ponts plus ancienne continue à fonctionner avec des modèles de confiance opérateur qui se sont avérés structurellement fragiles.