Nuevo hack en el mundo de cross-chain bridge: Nomad sufrió la explotación de una falla presente en sus contratos inteligentes, lo que resultó en el drenaje de 190 millones de dólares, casi la totalidad de su valor total bloqueado (TVL). Algunas personas, sin embargo, usaron la escapatoria para retirar tantos fondos como fuera posible para protegerlos, diciendo que estaban listos para devolverlos lo antes posible.
Desastre para el puente de cadena cruzada Nomad
Una falla importante se usó masivamente de la noche a la mañana, lo que resultó en el drenaje de más de $ 190 millones en el puente de cadena cruzada Nomad , que permite el intercambio de tokens entre Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 y Evmos.
De esta manera, casi todos los fondos se vaciaron del puente de manera deslumbrante, como lo muestra este gráfico extraído de los datos disponibles en DefiLlama:
Valor total bloqueado (TVL) en Nomad Bridge
Según los datos de la cadena, la primera transacción fraudulenta permitió a un usuario del puente retirar 100 wBTC, que valían $2,3 millones en ese momento. Por lo tanto, la falla se extendió gradualmente, lo que permitió a cualquier persona retirar una cantidad idéntica varias veces luego de una falla en los contratos inteligentes.
Afortunadamente, algunas personas pudieron sobresalir retirando la mayor cantidad de fondos posible antes de declarar que habían actuado como whitehat para proteger los fondos en cuestión y que los devolverían tan pronto como se les proporcionara una dirección de destino confiable. A ellos, como prueba esta transacción.
La parte oculta de la hazaña en Cross-Chain Bridge
Según una autopsia establecida por @samczsun, investigador de Paradigm , la falla es el resultado directo de una actualización de los contratos inteligentes del puente Nomad.
1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes
pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Cuando un token se transfiere a través de un puente, se bloquea en un contrato inteligente antes de redistribuirse en forma envuelta.
En el escenario que aquí nos interesa, la falla ubicada en el contrato inteligente permitía a los usuarios retirar fondos que no les pertenecían. De forma muy simplificada, un error de código en el contrato inteligente permitía validar todas las transacciones de forma automatizada y repetirlas en bucle.
He aquí por qué esta falla permitía ser explotada de una manera muy amplia y sobre todo por casi cualquier persona, pues eran necesarias muy pocas manipulaciones.
Este evento es una vez más un recordatorio de la exposición particular de los protocolos de cadena cruzada , muy a menudo involucrados en hacks sustanciales, cuyas repercusiones se desarrollan mecánicamente hacia otros actores . Aquí, por ejemplo, el equipo de blockchain de Evmos indicó que este hack tuvo un impacto significativo en su TVL.
Con un monto de más de 190 millones de dólares, esta falla es el 5to hack más grande en la historia de las criptomonedas, solo detrás del de Bitmart que entonces ascendía a 196 millones de dólares en abril de 2021.
