¡Alerta máxima! Un auditor vio venir el hackeo de Nemo de $2.59 millones y el equipo tuvo que confesarlo ¡antes de que fuera demasiado tarde!

El protocolo de trading Nemo, que funciona sobre Sui, se llevó un chasco bien pesado: perdió cerca de 2.6 millones de dólares por una vulnerabilidad que ya tenían detectada, pero que entró por meter código sin que nadie lo revisara bien, según el mismo proyecto.

Resulta que un análisis que hicieron después del hackeo del 7 de septiembre mostró que una función clave, diseñada para evitar que te hicieran trampa en el precio (el famoso slippage), tenía un error bien serio. Esa función llamada “get_sy_amount_in_for_exact_py_out” fue subida al sistema sin que la empresa Asymptotic, encargada de auditar contratos inteligentes, la revisara primero.

Lo más grave es que Asymptotic sí había avisado del problema en un reporte preliminar, pero los de Nemo no hicieron caso rápido y no arreglaron el error a tiempo. Además, el procedimiento de actualizar el código solo necesitaba la firma de una sola persona, así que el dev pudo subir cosas sin que nadie más se diera cuenta, ni siguiera usando el código hash que se usa para confirmar que todo esté chido.

Esto ya es viejo, no es la primera vez que un hackeo se pudo evitar con un poco más de atención. Hace unos meses la plataforma SuperRare, que se dedica al trading de NFTs, también sufrió un exploit por un error sencillo en su contrato inteligente, algo que, según los expertos, habría sido fácil de arreglar con las pruebas de rigor.

La cosa es que el código que tenía el problema fue subido desde enero, pero solo hasta abril cambiaron los procedimientos para evitar que se metiera código sin revisión. Para cuando Asymptotic le avisó a Nemo en agosto, ellos andaban ocupados en otros temas y la bronca explotó antes de que pudieran reaccionar.

Ahora Nemo ya pausó su protocolo para que no se siga perdiendo lana. Están chambeando con varios equipos de seguridad y ayudando a detener activos en exchanges centralizados para que el hacker no corra con la feria. Ya lanzaron un parche que están auditando con Asymptotic, sacaron la función de flash loan que daba bronca, arreglaron el código vulnerable y metieron una función para restablecer los valores afectados manualmente.

Además, están diseñando un plan para compensar a los usuarios, incluyendo un rollo de estructuración de deuda aplicado a la economía del token (tokenomics). El equipo se disculpó con todos y admitió que aprendieron la neta: la seguridad no es cosa de juego, hay que estar atentos todo el tiempo. También prometieron que van a ponérsela para mejorar los controles y fortalecer las defensas.

Aviso importante: lo aquí contado no es consejo para meterle a las inversiones ni ninguna recomendación. Siempre que vayas a mover tu lana, haz tu tarea y no te avientes sin saber bien en qué te metes.