Hechos clave:
-
Cualquiera podía participar del hackeo tan solo replicando una transacción fraudulenta.
-
El puente Nomad pasó de tener más de USD 190 millones bloqueados a casi USD 12.000.
El puente Nomad, que permite el envío de fondos entre varias blockchains, sufrió un hackeo bastante particular el pasado lunes 1 de agosto. Con un procedimiento básico, los atacantes se llevaron casi USD 200 millones del protocolo, lo que representa una gran parte de los activos bloqueados en este.
Según explicó el investigador Sam Sun (miembro del equipo de investigación de la firma de inversiones Paradigm y conocido en Twitter como @samczsun), el problema habría estado en una actualización reciente del contrato inteligente de Nomad. Gracias a los cambios realizados, los atacantes habrían tenido la posibilidad de reclamar fondos sin ser sus dueños legítimos.
«Fue uno de los hackeos más caóticos que se han visto en la web3», escribió el especialista. Fue caótico, afirma, porque no hacía falta tener conocimientos técnicos profundos para poder explotar la falla en el código, sino simplemente «encontrar una transacción que funcionara, reemplazar la dirección de otra persona con la tuya y reejecutarla».
Lo grave del caso es que, luego de que un primer usuario lograra efectuar la operación, le siguieron otros «cientos de usuarios» que copiaron el procedimiento. Fue como un «saqueo colectivo», describe el desarrollador @0xfoobar en la red social. Con el paso de las horas, Nomad pasó de tener más USD 190 millones en fondos bloqueados a poco más de USD 12.000, como posee en la actualidad.
Cabe destacar que, para permitir mover tokens entre una cadena y otra, un puente bloquea primero una determinada cantidad de tokens en una de las blockchains. Luego, libera una cantidad equivalente de otro token «envuelto» o wrapped en la blockchain de destino. En el caso de Nomad, el ataque se dio en esa primera etapa del funcionamiento del puente.
Mediante una publicación en su cuenta de Twitter, el equipo de Nomad reconoció el hecho y aseguró que está «trabajando para atender esta situación» y que ya notificó a las autoridades y compañías de analíticas blockchain. «Nuestra meta es identificar las cuentas involucradas para rastrear y recuperar los fondos», dice el tuit.
