Token bridge Nomad drenado de
El lunes, el puente de token de cadena cruzada de Nomad fue atacado y los atacantes prácticamente agotaron el protocolo de todo su efectivo. Se perdieron casi 200 millones de dólares en criptomonedas como resultado del hackeo.
Al igual que otros puentes entre cadenas, Nomad permite a los usuarios transferir tokens entre varias cadenas de bloques. El ataque del lunes es el más reciente de una serie de casos ampliamente informados que han generado preocupaciones sobre la seguridad de los puentes de cadena cruzada.
Según la plataforma de seguimiento de DeFi Llama DeFise han tomado casi todos los $ 200 millones en criptomonedas del puente, dejando solo $ 651.54 en la billetera.
Nomad luego afirmó que parte del dinero había sido sacado por «amigos de sombrero blanco» que lo hicieron para protegerlos.
¿Entonces, cómo pasó esto?
Los puentes suelen funcionar al volver a emitir tokens en forma «envuelta» en una cadena diferente después de encerrarlos en un contrato inteligente en una red. Los tokens envueltos pierden su respaldo si el contrato inteligente donde se depositaron inicialmente se ve comprometido. Esto es lo que sucedió en el caso de Nomad, haciéndolos inútiles.
Un investigador de la empresa de inversión en criptomonedas Paradigm, @samczsun, explicó en Twitter que un cambio reciente en uno de los contratos inteligentes de Nomad facilitó a los usuarios la falsificación de transacciones. Por lo tanto, los usuarios pueden utilizar el puente Nomad para retirar dinero que realmente no les pertenece.
El ataque de Nomad fue gratuito para todos, a diferencia de algunos ataques de puente en los que un solo perpetrador es responsable de toda la vulnerabilidad.
11/ Esta es la razón por la cual el truco fue tan caótico: no necesitabas saber sobre Solidity o Merkle Trees ni nada por el estilo. Todo lo que tenía que hacer era encontrar una transacción que funcionara, buscar/reemplazar la dirección de la otra persona con la suya y luego volver a transmitirla
– samczsun (@samczsun) 2 de agosto de 2022
El incidente vio WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO) Los tokens Card Starter (CARDS), Saddle DAO (SDL) y Charli3 (C3) se están agotando del puente.
¡Cuidado con los imitadores!
Después de enterarse del problema, Nomad informó a sus usuarios al respecto. Además, la empresa advirtió a los usuarios que tuvieran cuidado con los impostores. Nómada tuiteó,
“Somos conscientes de los imitadores que se hacen pasar por nómadas y proporcionan direcciones fraudulentas para recaudar fondos. Todavía no estamos dando instrucciones para devolver los fondos puente. Ignore las comunicaciones de todos los canales que no sean el canal oficial de Nomad”.
La red MoonBeam esencialmente se ha suspendido mientras el equipo investiga. Como resultado, ya no serán posibles las interacciones entre los contratos inteligentes y las transacciones normales que utilizan MoonBeam.
Al menos una persona ha manifestado públicamente su intención de hacerse pasar por un hacker de sombrero blanco que restaurará el dinero sustraído del puente hasta el momento. De hecho, Nomad fue contactado por uno usuario que tuiteó,
“Es un hack blanco, supongo. Voy a devolver el dinero”.
Más y más ataques al puente
Los ataques de puente han aumentado en frecuencia en los últimos meses, ya que los usuarios de criptomonedas han mostrado un mayor deseo de transferir fondos entre varias cadenas de bloques.
Si bien los puentes entre cadenas han permitido la propagación de cadenas de bloques incipientes, las fallas de los puentes pueden ser desastrosas para las cadenas más pequeñas que dependen de ellas para una parte importante de su liquidez general.
Una de las cadenas de bloques más recientes de Nomad, Evmos, tuiteó también reaccionó al incidente. Afirmó que el episodio de Nomad «daña gravemente a los Evmos iniciales [total value locked]”, y sería “lluvia de ideas sobre soluciones comunitarias”.
Esta es una traducción automática de nuestra versión en inglés.