Nuevo hackeo en el mundo de los puentes entre cadenas: Nomad ha sufrido la explotación de un fallo en sus contratos inteligentes, lo que ha provocado la fuga de 190 millones de dólares, es decir, casi todo su valor total bloqueado (TVL). Sin embargo, algunas personas aprovecharon el fallo para retirar la mayor cantidad posible de fondos para protegerlos, diciendo que estaban dispuestos a devolverlos lo antes posible.
Catástrofe para el puente transversal de Nomad
Una brecha masiva fue utilizada durante la noche, lo que resultó en el drenaje de más de 190 millones de dólares del puente de cadena cruzada Nomad, que intercambia tokens entre Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 y Evmos.
Casi todos los fondos se drenaron del puente en un instante, como demuestra este gráfico de los datos disponibles en DefiLlama:
Valor total bloqueado (TVL) en el puente Nomad
Según los datos de la cadena, la primera transacción fraudulenta habría permitido a un usuario puente retirar 100 wBTC, cuyo valor era de 2,3 millones de dólares en ese momento. El fallo se fue conociendo poco a poco, permitiendo a cualquiera retirar la misma cantidad de dinero varias veces debido a un fallo en los contratos inteligentes.
Por suerte, algunas personas pudieron salirse con la suya y retirar todo el dinero posible antes de declarar que habían actuado como un sombrero blanco para proteger los fondos en cuestión, y que los devolverían tan pronto como se proporcionara una dirección de destino fiable, como demuestra esta transacción.
Antecedentes de la hazaña
Según un post mortem de @samczsun, investigador de Paradigm, el fallo fue consecuencia directa de una actualización de los contratos inteligentes del puente Nomad.
1/ Nomad acaba de ser vaciado por más de $150M en uno de los hacks más caóticos que ha visto Web3. ¿Cómo ha ocurrido esto exactamente y cuál ha sido la causa principal? Permítanme llevarles entre bastidores pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
Cuando un token se transfiere a través de un puente, se bloquea en un contrato inteligente antes de ser redistribuido en forma envuelta.
En este caso, el fallo en el contrato inteligente permitía a los usuarios retirar fondos que no les pertenecían. De forma muy simplificada, un error de código en el contrato inteligente permitió que todas las transacciones se validaran automáticamente y se repitieran en un bucle.
Por ello, este fallo podía ser explotado de forma muy amplia y, sobre todo, por casi cualquier persona, ya que se requería muy poca manipulación.
Este suceso es otro recordatorio de la particular exposición de los protocolos de cadena cruzada, que a menudo están implicados en hackeos a gran escala, cuyas repercusiones se extienden mecánicamente a otros actores. Aquí, por ejemplo, el equipo de blockchain de Evmos indicó que este hackeo había afectado significativamente a su TVL.
Con más de 190 millones de dólares, esta brecha es el quinto mayor hackeo en la historia de las criptomonedas, sólo por detrás del hackeo de 196 millones de dólares de Bitmart en abril de 2021.
