Na segunda-feira, início do mês de agosto, mais um caso de hack em protocolo de ponte entre blockchains aconteceu. As pontes entre blockchains (bridges) são protocolos utilizados para a interoperabilidade entre redes. Ou seja, é a forma com a qual atualmente se faz possível a utilização de um ativo nativo da rede Ethereum, na rede Solana, por exemplo.

De forma simplificada, o funcionamento de uma bridge se dá a partir de um contrato inteligente que vai receber os tokens nativos da rede e vai travá-los nesse contrato. Dessa forma, o contrato fica apto a emitir um token “sintético” do token original na outra rede. No exemplo utilizado acima, a ponte funcionaria permitindo que eu utilizasse “tokens sintéticos” de ETH, na rede da Solana, caso eu prendesse meus “ETH reais” em um contrato de uma bridge.

O ponto negativo das bridges é que os “tokens reais” passam a ficar mais vulneráveis, uma vez que estão em posse do contrato inteligente da bridge. Por esse motivo, as bridges têm protagonizado os maiores hacks do mercado de criptoativos.

A vítima dessa vez foi a ponte Nomad, uma das principais formas de interação de tokens nos ecossistemas das redes Ethereum, Moonbeam e Cardano. O caso chamou a atenção não só pelos US$ 190M roubados em 01/Ago, mas também pela forma com que ocorreu. A brecha encontrada estava no contrato inteligente do protocolo e, permitia que qualquer pessoa com um entendimento básico de programação autorizasse retiradas. 

Ao que tudo indica, a primeira transação a se aproveitar da brecha foi feita utilizando 0.01 Bitcoin na blockchain Moonbeam para que fossem sacados 100 Bitcoins em “sintéticos de Bitcoin”, na rede Ethereum. Tudo o que você precisava fazer era encontrar uma transação que já tivesse se aproveitado e substituir o endereço da outra pessoa pelo seu. 

Após a notícia se espalhar, inúmeros usuários passaram a se aproveitar da falha, caracterizando esse como o primeiro roubo descentralizado da história. As redes Cardano e Moonbeam sofreram expressivas perdas em TVL por conta da rápida divulgação da brecha. 

A Moonbeam – que faz parte do ecossistema Polkadot – entrou em “manutenção” poucas horas após o hack, essencialmente travando as operações na rede, para tentar conter os saques. 

A Nomad reconheceu a falha no primeiro dia de ataque e passou a trabalhar com investigadores e firmas de segurança para que conseguissem reaver os fundos. O fato do hack ter sido amplamente divulgado nas primeiras horas em que foi descoberto, também fez com que “hackers do bem” (white hat) participassem do acontecimento. Esse white hat hackers essencialmente estavam participando do roubo coletivo, para que pudessem devolver os fundos de forma segura depois que o problema fosse resolvido. 

Um pouco menos de 10% dos fundos roubados foram de responsabilidade de white hat hackers, que devolveram mais de US$ 16M no dia seguinte aos acontecimentos. 

Para incentivar que outras pessoas também devolvessem o dinheiro, a Nomad estabeleceu uma política de premiação. De acordo com a política de premiação, qualquer carteira que tivesse participado do ataque e devolvesse pelo menos 90% do que foi roubado, passaria a ser considerada uma carteira white hat, com 10% do valor servindo como recompensa. 

A carteira que está fazendo a custódia dos ativos que estão sendo devolvidos é em parceria com a Anchorage Digital, um banco de custódia nacional regulado. Até o momento da redação, foram recuperados cerca de US$ 20M em criptoativos. A maior parte dos fundos recurapados foram pagos em USDC, DAI e ETH. 

As investigações permanecem ativas e é possível que mais fundos sejam devolvidos ao longo da semana, por conta da isenção de responsabilidade com um prêmio de 10% em cima do roubo. A conclusão que pode ser tirada é que, as atuais soluções para o problema de interoperabilidade das blockchains estão longe de serem ideais. A utilização de bridges deve ser feita com cautela, visto que, somente esse ano, somam mais de US$ 1B em perdas para usuários.