¡Lima se vuelve techie! Ahora puedes pagar el bus con Bitcoin y sin enredos

El protocolo de trading Nemo, que funciona en la red Sui, perdió como 2.59 millones de dólares por una falla bien conocida que llegó por meter código sin checar antes, según el mismo proyecto.

Resulta que, según el análisis que hicieron después del hackeo del 7 de septiembre, un bug en una función que se suponía debía evitar pérdidas por diferencias de precio (eso que llaman slippage) dejó que el atacante cambiara cómo funciona el protocolo. Esa función, llamada “get_sy_amount_in_for_exact_py_out”, la subieron directo a la cadena sin que la revisara el equipo de seguridad (un auditor de contratos inteligentes llamado Asymptotic).

Además, aunque Asymptotic había avisado del problema en un informe antes, el equipo de Nemo no le puso atención rápido ni le entró al parcheo a tiempo.

Lo más grave es que para meter nuevo código solo necesitaban la firma de una sola persona, lo que dejó la puerta abierta para que el dev subiera código sin revisión y sin avisar qué cambió. Ni siquiera usaron el hash de confirmación que pidieron en la auditoría, o sea que rompieron el proceso básico que se debe seguir.

Esta no es la primera vez que pasa algo así, hay hacks que se podrían evitar con un poco más de cuidado. Por ejemplo, hace unos meses la plataforma SuperRare también sufrió un exploit de 730 mil dólares por un error básico que se podía haber arreglado con pruebas normales.

El cambio en seguridad llegó tarde

El código con la falla se subió en enero. El protocolo para actualizarlo bien, que no hubiera dejado meter ese código chueco, se activó hasta abril.

Aunque la nueva regla ya estaba, el error ya estaba rodando en producción. Asymptotic le avisó a Nemo el 11 de agosto, pero el proyecto andaba con otros pendientes y no lo arregló antes del hackeo.

Nemo detuvo el protocolo y ya trabaja en el parche

Para que no sigan perdiendo más lana, pausaron las funciones claves del protocolo. También están cooperando con varios equipos de seguridad y dando toda la info que pueden para congelar lo que se robó en los exchanges centralizados.

Ya tienen un parche listo y Asymptotic está revisando el nuevo código. Quitaron la función de flash loan, arreglaron el código vulnerable y añadieron una opción para restablecer los valores que se movieron mal. Además, están armando un plan para compensar a la banda que perdió su varo, incluyendo una estrategia para manejar la deuda dentro del sistema tokenómico.

“El equipo está preparando un plan detallado para compensar a los usuarios, incluyendo cómo manejar la deuda en el ecosistema de tokens.”

Nemo pidió disculpas a todos sus usuarios y le metió la lección de que la seguridad y el control de riesgos tienen que estar al tiro todo el tiempo. También prometieron apretar las tuercas en su defensa y hacer un control más estricto del protocolo.

Ojo: Lo que ves aquí es info y opiniones que no necesariamente reflejan lo que piensa Cointelegraph. No es consejo financiero ni para invertir; cada quien que haga su tarea antes de mover su lana.