El crypto puente Nomad ha sido explotado y se han drenado 190 millones de dólares de sus reservas en cuestión de una hora. Parece que lo sucedido no ha sido culpa de un exploit, sino de un propio fallo de seguridad del protocolo que permitía obtener fondos a cualquier usuario.
El ecosistema crypto está avanzando a pasos agigantados y cada día surgen y se presentan nuevas tecnologías e implementaciones para diferentes campos. Este avance requiere que los estándares de seguridad también vayan aumentando para proteger las inversiones y los fondos de los usuarios de la blockchain, por desgracia los hackers también parecen estar adaptándose a estos avances.
Los hackeos a protocolos son el pan de cada día dentro de las diferentes blockchains y cada vez son más sofisticados los métodos utilizados para perpetrar estos ataques. Sin duda, los ataques de préstamos flash o «flash loan» son los más habituales, un ataque «pump and dump» muy rápido que aprovecha los préstamos rápidos y sin garantías disponibles a través de algunas plataformas DeFi. Este tipo de ataques también pueden llegar a vulnerar la estructura de una plataforma o protocolo debido a su rapidez.
Los ataques por préstamos flash han sido los principales causantes de algunos de los hackeos más voluminosos sucedidos recientemente. Pero en ocasiones esta clase de ataques no son el medio para acceder a los fondos, simplemente la vulnerabilidad la crea el factor humano, por descuido o a propósito. Este es el caso del Nomad al que se le han drenado 190 millones de dólares.
¿Qué le ha sucedido a Nomad?
El día de ayer, la administración de crypto puente Nomad reconoció haber perdido unos 190 millones de dólares en activos de una de sus billeteras de reserva. En una primera instancia se pensó que podrían haber sido víctimas de un ataque, pero finalmente esto se desmintió.
Nomad es un protocolo que permite a los usuarios mover activos digitales entre diferentes blockchains, como la de Avalanche (AVAX), Ethereum (ETH) y Moonbeam (GLMR), entre otras. Estos protocolos cuentan con grandes reservas de liquidez en las que se almacenan diferentes activos, lugar de donde fueron drenados los activos.
Firmas de seguridad como PeckShield han afirmado que no se realizó ningún movimiento irregular que pudiera romper la seguridad del protocolo. Se sospecha que el fallo provine del mismo protocolo, en concreto de la configuración de un contrato inteligente que Nomad utiliza para procesar mensajes.
Los detalles que ofrece Nomad son escasos, pero varios desarrolladores coinciden en que el problema habría surgido de este contrato inteligente. Estos mismos han afirmado que con los conocimientos y las herramientas adecuadas, era posible drenar la cantidad de fondos deseada a placer.
Uno de los desarrolladores que explica lo sucedido ha sido Sam Sun, investigador de la firma de inversión Paradigm, que publicó un resumen en su propio Twitter. Por lo visto, en una actualización rutinaria, el equipo de Nomad inicializó la raíz de confianza del contrato inteligente en cuestión para que fuera 0x00. Esto es una práctica habitual, pero en esta ocasión tuvo efecto secundario de aprobación automática de cada mensaje.
Sun continuó explicando que esto no significaba que se aprobasen todas los mensajes realizados, pero sí que algunos se aprobaban automáticamente. Esto hizo que no fuese necesario contar con conocimientos avanzados de programación, simplemente encontrar una transacción que el contrato diese como válida y sustituir la dirección del destinatario. Esto hizo que cuando la primera persona descubrió el «truco», el resto únicamente debía copiar la transacción y sustituir la dirección.
A través de este método se drenaron 190 millones de dólares en cuestión de una hora en operaciones muy voluminosas. Durante la madrugada del día de hoy, Nomad se ha pronunciado afirmando que han iniciado un proceso de Investigación/recuperación donde utilizarán diferentes procesos de rastreos de fondos empleando múltiples firmas líderes en el análisis de cadena y abogados. Se tomarán medidas legales en contra de los que se nieguen a devolver los fondos, habilitándose una dirección para depositar estos mismos de forma voluntaria. Nomad también está desplegando recursos en un plan de reconstrucción técnica del protocolo, el cual se revelará más adelante.
Este ha sido el drenado de fondos más voluminoso a un protocolo blockchian desde lo sucedido a Axie Infinity. En el mes de marzo, el popular juego NFT Axie Infinity sufrió un ataque a través del cual se robaron unos 625 millones de dólares en criptomonedas.
Desde Bitcoin.es seguiremos informando acerca de las futuras actualizaciones por parte del equipo de Nomad.