“A Nomad continua trabalhando com sua comunidade, policiais e empresas de análise de blockchain para garantir que todos os fundos sejam devolvidos”, escreveu a empresa.
O roubo ocorreu quando uma vulnerabilidade no código da Nomad permitiu que hackers fugissem com quase US$ 190 milhões em tokens. Mais de US$ 20 milhões foram recuperados na manhã de sexta-feira, de acordo com a Etherscan, uma plataforma de análise de blockchain.
O Nomad funciona como uma ponte blockchain, que permite usuários para mover ativos de um blockchain para outro – como de bitcoin para ethereum. Mas isso também os torna vulneráveis no que os especialistas em segurança chamam de “ambos os lados”, fraquezas em qualquer blockchain.
A empresa de análise de blockchain Elliptic Connect disse que a violação do Nomad foi o sétimo grande incidente envolvendo uma ponte de criptografia em 2022 e o oitavo maior roubo de criptografia de todos os tempos. Outra ponte criptográfica, conhecida como Ronin, sofreu um roubo de US$ 625 milhões no início deste ano. Nesse caso, os hackers se infiltraram no blockchain subjacente que alimenta o popular videogame Axie Infinity, fugindo com cerca de 174.000 ethereum.
“As pontes são conhecidas há muito tempo por serem atraentes para hackers cibernéticos”, escreveu Elliptic Connect em uma postagem de blog não assinada. “Eles normalmente detêm grande liquidez, pois os usuários que desejam converter fundos em blockchains normalmente bloqueiam seus ativos dentro de seus contratos. Eles também operam em blockchains que são relativamente menos seguros.”
O ataque do Nomad era conhecido como “livre para todos” porque o código do hacker original permitia que qualquer um o copiasse, abrindo as comportas para que qualquer um entrasse na briga e sacasse fundos. A Elliptic Connect disse que identificou mais de 40 “exploradores”, incluindo um hacker que acumulou pouco menos de US$ 42 milhões automatizando o processo de retirada de dinheiro.
Ao pagar efetivamente aos hackers, a Nomad está empregando uma estratégia na qual as empresas de tecnologia confiam há muito tempo para avaliar e melhorar suas redes.
A Microsoft, por exemplo, proclama “que comece a caçada!” em sua própria página de recompensas de bugs, que oferece até US$ 60.000 para relatórios de vulnerabilidade na plataforma de nuvem Azure da empresa, ou US$ 20.000 para relatórios de vulnerabilidade na plataforma de jogos online Xbox Live. Avaliações comparáveis para o Hyper-V, um programa de virtualização de código, podem chegar a US$ 250.000. Em 2016, o Departamento de Defesa lançou um programa de recompensas por bugs chamado “Hack the Pentagon”.
A Nomad não é a primeira empresa de criptomoedas a se envolver diretamente com hackers.
Em agosto passado, uma plataforma de criptomoedas chamada Poly Network foi alvo de um grande ataque no qual alguém roubou mais de US$ 600 milhões em tokens, segundo a CNBC. O ladrão explorou uma vulnerabilidade no código de rede da empresa que permitia aos usuários transferir fundos para suas próprias contas.
Mas, em uma reviravolta incomum, o hacker abriu um diálogo com a equipe da Poly Network e, finalmente, devolveu os fundos, informou a CNBC. De acordo com reportagens, a empresa emitiu um comunicado chamando o hacker de “Mr. White Hat”, oferecendo uma recompensa de US$ 500.000 e estendendo um convite para se tornar o “assessor-chefe de segurança” da plataforma.
As criptomoedas em geral sofreram quedas acentuadas de valor ao longo de 2022, já que bitcoin, ethereum e outras moedas digitais foram vendidas junto com o mercado de ações mais amplo. Na manhã de sexta-feira, o bitcoin estava em cerca de US$ 23.000, um aumento de cerca de 14% no mês passado. Isso se compara a mais de US$ 66.000 em novembro de 2021.