Una vulnerabilidad en el puente permitió a personas con escasos conocimientos técnicos drenar casi todos los fondos de Nomad.
***
- Puente Nomad pierde USD $190 millones en ataque.
- Una falla en un contrato inteligente derivó en una suerte de saqueo colectivo.
- Se pudieron drenar fondos sin necesidad de conocimientos técnicos.
El puente de cadena cruzada Nomad fue víctima de un peculiar hackeo a gran escala que ahora ha drenado casi todos los fondos depositados en ese protocolo.
Según los informes, una vulnerabilidad en el protocolo permitió a un grupo de actores maliciosos hacerse con alrededor de USD $190 millones en varias criptomonedas. A diferencia de otros incidentes de su tipo, la explotación no requirió conocimientos técnicos. Ha sido descrito como uno de los ataques más caóticos de DeFi hasta la fecha, según Crypto Briefing.
Nomad, como otros puentes entre cadenas, permite a los usuarios enviar y recibir tokens entre diferentes cadenas de bloques. El protocolo es compatible con Ethereum, Avalanche, Evmos y Moonbeam.
Frenético hackeo colectivo, ¿qué sucedió?
El hackeo se dio a conocer por primera vez el lunes por la noche a través de redes sociales, después de que algunas cuentas de seguridad en Twitter alertaran sobre movimientos de retiro de dinero sospechosos del protocolo.
De acuerdo con el investigador de la empresa de criptoinversión Paradigm, quien se identifica como @samczsun en Twitter, una falla en uno de los contratos inteligentes de Nomad fue lo que dio lugar al incidente. Según explicó, el error permitió a los usuarios falsificar transacciones y engañar a la plataforma para retirar dinero que realmente no poseían.
Como explica CoinDesk, los puentes generalmente funcionan bloqueando tokens en un contrato inteligente y luego volviendo a emitirlos en forma “envuelta” en otra cadena. Si se sabotea el contrato inteligente donde se depositan inicialmente los tokens, como sucedió en el caso de Nomad, los tokens envueltos ya no tienen ningún respaldo, lo que puede dejarlos sin valor.
Pero lo más inusual del incidente fue que los actores maliciosos no requirieron ningún tipo de experticia en programación o informática, como en general suele suceder con este tipo de ataques. En cambio, la vulnerabilidad ofreció a personas comunes una ventana para extraer fondos a partir de un ejercicio relativamente simple de copiar y pegar. Al respecto, @samczsun destacó:
No necesitabas saber sobre [lenguajes de programación] Solidity o Merkle Trees ni nada por el estilo. Todo lo que tenía que hacer era encontrar una transacción que funcionara, buscar/reemplazar la dirección de la otra persona con la suya y luego volver a transmitirla.
Después de que se divulgó la falla, muchos oportunistas acudieron a Nomad para aprovechar el botín, lo que resultó en una suerte de saqueo colectivo, o, como lo describió @samczsun, un “frenético juego libre“.
Otro puente Blockchain bajo ataque
En medio del ataque, el equipo de Nomad acudió a Twitter para reconocer la piratería en curso. “Somos conscientes del incidente relacionado con el puente de tokens de Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones cuando las tengamos“, escribió la cuenta oficial del protocolo a las 7:25 pm (hora NY).
El equipo ha estado actualizando a la comunidad desde entonces, y más recientemente informaron que han notificado a las fuerzas del orden y están trabajando con empresas de inteligencia y análisis forense de Blockchain para hallar a los responsables. “Nuestro objetivo es identificar las cuentas involucradas y rastrear y recuperar los fondos“.
Update: We are working around the clock to address the situation and have notified law enforcement and retained leading firms for blockchain intelligence and forensics. Our goal is to identify the accounts involved and to trace and recover the funds.
1/2
— Nomad (⤭⛓🏛) (@nomadxyz_) August 2, 2022
Aún no hay informes oficiales sobre lo sucedido, pero se estiman pérdidas cercanas a los 190 millones de dólares en activos como Bitcoin envuelto (WBTC), Ethereum envuelto (WETH), USD Coin (USDC) y otros. Mientras tanto, la firma de seguridad PeckShield ha revelado a The Block que más de 300 direcciones habían tomado fondos de Nomad en el transcurso de una hora.
La cifra elevada ha convertido al hackeo en uno de los más grandes hasta la fecha, en medio de una ola de ataques dirigidos a los puentes Blockchain. Los protocolos cross-chain se han convertido en objetivo de hackeos en los últimos meses. La explotación de Nomad se suma a otras como las de Wormhole, que perdió cerca de USD $300 millones en febrero, y el ataque masivo de más de USD $600 millones a Ronin Network, el puente del juego Axie Infinity.
Lecturas recomendadas
- Hackers extraen más de USD $8 millones a usuario de Uniswap mediante ataque phishing
- Una stablecoin de Solana se desvinculó tras hackeo de USD $3,5 millones a protocolo Nirvana
- Equipo de Fei Protocol ofrece USD $10 millones “sin hacer preguntas” a responsables de hackeo si devuelven los fondos
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Depositphotos
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.