En uno de los hacks más extensos desde el Ronin Bridge Sidechain de Axie Infinity en marzo, un exploit en el puente de tokens Nomad ha permitido a los atacantes robar unos 190 millones de dólares en criptomonedas.

La firma de seguridad PeckShield dijo a Decrypt que los fondos robados estaban denominados en Ethereum, USDC, DAI, FXS y CQT.

"Estamos al tanto del incidente relacionado con el puente de tokens Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones cuando las tengamos", tuiteó Nomad el lunes por la tarde.

El puente Nomad es un protocolo que permite a los usuarios mover activos digitales entre diferentes blockchains, incluyendo Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 y Moonbeam (GLMR).

Nomad TVL se desplomó al retirarse los fondos del protocolo. Imagen: DeFi Llama.
Nomad TVL se desplomó al retirarse los fondos del protocolo. Imagen: DeFi Llama.

El valor total bloqueado de activos en Nomad se desplomó a medida que los fondos se retiraban del protocolo. Imagen: DeFi Llama.
Aunque los detalles de Nomad son escasos, algunos han apuntado a un error de configuración en un contrato inteligente que Nomad utiliza para procesar los mensajes como la causa, lo que permitió que se drenaran millones del fondo de liquidez de Nomad.

"Todo comenzó cuando @officer_cia compartió el tuit de @spreekaway en el canal de Telegram de ETHSecurity", tuiteó Sam Sun, investigador de la firma de inversiones en criptomonedas Paradigm. "Aunque no tenía ni idea de lo que estaba pasando en ese momento, solo el gran volumen de activos que salían del puente era claramente una mala señal".

"Resulta que durante una actualización de rutina", continuó Sun. "el equipo de Nomad inicializó la raíz de confianza para que fuera 0x00. Para ser claros, usar valores cero como valores de inicialización es una práctica común. Desafortunadamente, en este caso tuvo un pequeño efecto secundario de auto-aprobación de cada mensaje."

El ataque al puente de Nomad es "una batalla campal"

Sun comparó lo que ocurrió después con "una frenética batalla campal" porque se necesitaban pocos conocimientos técnicos para aprovechar el exploit.

"No era necesario saber sobre Solidity o Merkle Trees ni nada parecido", escribió Sun. "Todo lo que tenías que hacer era encontrar una transacción que funcionara, encontrar/reemplazar la dirección de la otra persona con la tuya, y luego retransmitirla".

Del mismo modo, la firma de seguridad de blockchain Certik informó que los atacantes podrían explotar el error simplemente copiando y pegando transacciones. La firma añadió que la gente podía explotar la actualización "copiando los datos de llamada de la transacción original del hacker y sustituyendo la dirección original por una personal".

De este modo, el puente se quedaba sin casi todos sus fondos.

"El puente de Nomad se atacó de una manera similar al QBridge de Qubit", tuiteó el ingeniero de seguridad de a16z, Matt Gleason. "Una configuración insegura del puente provocó que una ruta específica permitiera el envío de cualquier transacción. El error está dentro de la función 'process' de Replica".

"El sistema aceptará cualquier mensaje que nunca haya visto antes y lo procesará como si fuera auténtico, lo que significa que todo lo que hay que hacer es pedir todo el dinero del puente y lo obtendrá", añadió.

Según la FTC, los ciberataques contra los proyectos de criptomonedas parecen no mostrar signos de desaceleración, con más de mil millones de dólares en criptomonedas robadas desde 2021.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.