El más reciente de una serie de hacks de DeFi ocurrió hace unas horas en el proyecto Nomad. La ambiciosa dApp prometía interoperabilidad entre cadenas con «mayor seguridad«, brindando a los desarrolladores la opción de «crear de forma segura aplicaciones entre cadenas (o xApps) y unir activos entre cadenas«.
Antilavadodedinero / Cointelegraph
Fue esta característica la que se explotó, lo que permitió a los piratas informáticos y a los usuarios, supuestamente aleatorios en los servidores públicos de Discord, drenar más de USD 190 millones en criptomonedas a través del Contrato inteligente puente del proyecto en lo que se denomina el «Primer robo descentralizado«.
En un informe reciente, el equipo de analistas de BestBrokers comenzó a investigar los datos de Blockchain relacionados con el hackeo, en las primeras horas después de que se conociera la noticia. El objetivo era construir la línea de tiempo de lo que sucedió y diagnosticar las repercusiones.
“Identificamos las primeras 4 transacciones de hacking que ocurrieron el 1º de agosto a las 21:32:31 UTC, agotando el contrato inteligente de 100 Bitcoins cada una. Esto continuó hasta que los 1,028 BTC se desviaron en menos de una hora.
Luego, los piratas procedieron a desviar los 22,880 ETH, luego pasaron a las monedas estables por valor de más de USD 107 millones y finalmente comenzaron a desviar las monedas alternativas, respaldadas por el proyecto, hasta que no quedó nada en el contrato” dijo el informe.
Según BestBrokers, este evento arrastró lógicamente a la baja los precios de las criptomonedas, pero a diferencia de las criptomonedas BTC y ETH, y las monedas estables, algunas monedas alternativas involucradas sufrieron una caída de hasta el 94%. El equipo analizó más a fondo las criptomonedas más afectadas: CARD.STARTER (CARDS), Charli3 (C3), Covalent (CQT), IAGON (IAG) y GeroWallet (GERO):
¿Qué sucedió?
Sólo unos días después de que el protocolo de mensajería de cadena cruzada, Nomad, anunciara a los participantes en su ronda inicial de USD 22.4 millones de abril de 2022, destacando nuevamente la importancia de la seguridad, la compañía pasó de héroe a cero, literalmente. El 2 de agosto, la empresa informó sobre el último hackeo de DeFi que provocó el drenaje de todo el capital de la empresa. La parte interesante es que todo el evento se pudo presenciar en vivo en Twitter, ya que los criptoinfluencers informaban a medida que avanzaba el hackeo.
Los piratas informáticos se aprovecharon de una raíz de Merkle mal inicializada, utilizada en las criptomonedas para garantizar que los bloques de datos enviados a través de una red de igual a igual estén completos e inalterados.
El contrato inteligente de puente de Nomad en su versión actual se inicializó con la raíz merkle 0x0, lo que demuestra automáticamente que cualquier mensaje de transacción es válido.
La vulnerabilidad había sido informada
La parte irónica es que la vulnerabilidad, que acaba de explotarse, se destacó en un informe de auditoría de seguridad realizado por Quantstamp el 06/06/2022. Se puede encontrar en «QSP-19 Demostración con una hoja vacía» en la página 7 del informe aún disponible públicamente y se considera de «Bajo riesgo«.
Por la actualización bajo la recomendación, es evidente que el equipo de Nomad había sido informado de la vulnerabilidad e incluso respondió a la sugerencia de Quantstamp con: «consideramos que es efectivamente imposible encontrar la preimagen de la hoja vacía«. El comentario de los auditores, que dice: «creemos que el equipo de Nomad ha entendido mal el problema«. Esto es exactamente lo que derribó a Nomad poco menos de dos meses después.
El Primer Robo Descentralizado
Un aspecto interesante de esta vulnerabilidad en particular es el hecho de que, para explotarla, cualquiera podría simplemente copiar los datos de la llamada de transacción inicial del hacker (los datos que pasa a un contrato inteligente) y simplemente modificar la dirección de la billetera de destino a la suya.
De esa manera, solo era cuestión de copiar y pegar la transacción original para que cualquiera comenzara a drenar el contrato inteligente de Nomad.
Se informa que en algún momento después de que los piratas informáticos originales eliminaran todos los BTC, ETH y parte de las monedas estables, el truco se promocionó en algunos servidores públicos de Discord.
Se cree que esto lo hicieron los piratas informáticos para cubrir sus huellas y, poco después, los usuarios aleatorios comenzaron a unirse al botín, convirtiéndolo en el primer robo descentralizado.
Esto incluyó algunos Whitehats que lo hicieron sólo para evitar que parte de los fondos cayeran en las manos equivocadas. Prometieron que devolverían los fondos más tarde.
Todas las altcoins involucradas en el atraco sufrieron graves daños. A pesar de las grandes pérdidas, algunos de ellos vieron fuertes recuperaciones con el precio de CQT pasando de -57% a -26% en comparación con los niveles anteriores al hackeo. Por otro lado, C3 (-93 %) tiene un largo camino por recorrer, ya que sus precios se recuperaron hasta el -54 % en algún momento, pero volvieron a caer hasta el -86 % en la actualidad.
“Cuando ocurren caídas tan significativas, el camino de regreso resulta ser demasiado difícil para la mayoría de los activos afectados. Aunque las criptomonedas son más volátiles y no se pueden cancelar simplemente, las monedas más afectadas por este problema probablemente tendrán dificultades para volver a los niveles anteriores«, comenta Alan Goldberg, analista de BestBrokers.
Ethereum y Bitcoin sufrieron un descenso entre el 3% y el 5% lo que se puede considerar como volatilidad normal y se han recuperado. Esto demuestra que los precios de las altcoins recientemente lanzadas relacionadas con DeFi son mucho más vulnerables.
Por otro lado, Ethereum demuestra volverse más sólido a medida que pasa el tiempo, lo cual es una gran noticia para los inversores que buscan no solo seguridad sino también usabilidad de sus criptoactivos.
“Mientras que en el pasado los hacks se dirigían a los exchanges y afectaban principalmente al precio de Bitcoin, los ataques de hoy en día están dirigidos principalmente a DeFi. Los hacks de DeFi de este año arrastraron muchas altcoins pero no a Ethereum, lo que demuestra que se está acercando a Bitcoin en términos de confianza«, comentó Alan Goldberg, analista de BestBrokers.