-
Cualquiera podรญa participar del hackeo tan solo replicando una transacciรณn fraudulenta.
-
El puente Nomad pasรณ de tener mรกs de USD 190 millones bloqueados a casi USD 12.000.
El puente Nomad, que permite el envรญo de fondos entre varias blockchains, sufriรณ un hackeo bastante particular el pasado lunes 1 de agosto. Con un procedimiento bรกsico, los atacantes se llevaron casi USD 200 millones del protocolo, lo que representa una gran parte de los activos bloqueados en este.
Segรบn explicรณ el investigador Sam Sun (miembro del equipo de investigaciรณn de la firma de inversiones Paradigm y conocido en Twitter como @samczsun), el problema habrรญa estado en una actualizaciรณn reciente del contrato inteligente de Nomad. Gracias a los cambios realizados, los atacantes habrรญan tenido la posibilidad de reclamar fondos sin ser sus dueรฑos legรญtimos.
ยซFue uno de los hackeos mรกs caรณticos que se han visto en la web3ยป, escribiรณ el especialista. Fue caรณtico, afirma, porque no hacรญa falta tener conocimientos tรฉcnicos profundos para poder explotar la falla en el cรณdigo, sino simplemente ยซencontrar una transacciรณn que funcionara, reemplazar la direcciรณn de otra persona con la tuya y reejecutarlaยป.
Lo grave del caso es que, luego de que un primer usuario lograra efectuar la operaciรณn, le siguieron otros ยซcientos de usuariosยป que copiaron el procedimiento. Fue como un ยซsaqueo colectivoยป, describe el desarrollador @0xfoobar en la red social. Con el paso de las horas, Nomad pasรณ de tener mรกs USD 190 millones en fondos bloqueados a poco mรกs de USD 12.000, como posee en la actualidad.
Cabe destacar que, para permitir mover tokens entre una cadena y otra, un puente bloquea primero una determinada cantidad de tokens en una de las blockchains. Luego, libera una cantidad equivalente de otro token ยซenvueltoยป o wrapped en la blockchain de destino. En el caso de Nomad, el ataque se dio en esa primera etapa del funcionamiento del puente.
Mediante una publicaciรณn en su cuenta de Twitter, el equipo de Nomad reconociรณ el hecho y asegurรณ que estรก ยซtrabajando para atender esta situaciรณnยป y que ya notificรณ a las autoridades y compaรฑรญas de analรญticas blockchain. ยซNuestra meta es identificar las cuentas involucradas para rastrear y recuperar los fondosยป, dice el tuit.