Robó 190 millones de dólares, se disculpó y pidió una recompensa: una historia que incluso a Netflix le queda mucho por recorrer

El ciudadano estadounidense-israelí Alexander Gurevich fue arrestado en Jerusalén acusado de estar implicado en uno de los mayores ciberataques en la historia de las finanzas descentralizadas. Se trata del hackeo del puente cross-chain Nomad, que en agosto de 2022 resultó en el robo de activos en criptomonedas por un valor aproximado de 190 millones de dólares.

Según la plataforma analítica TRM Labs, fueron sus especialistas quienes proporcionaron a las autoridades policiales internacionales la información que permitió identificar a Gurevich. Su detención fue el resultado de una coordinación entre la policía de Israel, el Departamento de Justicia de EE.UU., el FBI e Interpol. En breve, Gurevich será extraditado a EE.UU.: los procedimientos legales necesarios ya han sido acordados.

Nomad Bridge es un protocolo que permite a los usuarios transferir activos entre distintas blockchains. El 1 de agosto de 2022, los atacantes aprovecharon una vulnerabilidad en la función process() del contrato inteligente Replica, que apareció tras una actualización. En lugar de verificar adecuadamente la prueba del mensaje, el sistema aceptaba cualquier transacción con una raíz hash válida, sin importar su veracidad. Esto permitió al atacante eludir la verificación y retirar fondos del puente.

El esquema era tan primitivo que cientos de otras carteras lo copiaron rápidamente: bastaba con replicar el formato de una transacción exitosa. El ataque tipo “mob-style” se convirtió en una ofensiva masiva espontánea: cientos de participantes saquearon simultáneamente los recursos del puente. En total, se robaron más de 190 millones de dólares en ETH, USDC, WBTC y otros tokens estándar ERC-20.

Aunque Gurevich, según TRM Labs, no creó el exploit ni inició el ataque, su papel en el crimen se considera clave. Coordinó acciones con los primeros participantes y se encargó del lavado de grandes volúmenes de activos robados. Las carteras asociadas a él comenzaron a recibir fondos apenas unas horas después del inicio del ataque.

Para ocultar los rastros, Gurevich utilizó “chain-hopping” — transferencia de fondos entre diferentes blockchains, el mezclador Tornado Cash, y convirtió ethers a criptomonedas anónimas como Monero (XMR) y Dash. Para convertir las criptomonedas en dinero fiat, usó exchanges no custodiales, corredores extrabursátiles, cuentas offshore y empresas pantalla. Parte de los fondos se retiró mediante plataformas que no requieren verificación de identidad.

A pesar del esquema de ofuscación en varias capas y del tiempo transcurrido desde el ataque, los especialistas lograron rastrear las transacciones y establecer un vínculo con Gurevich, lo que llevó a su detención. Según la fiscalía, él mismo retiró del puente Nomad activos digitales por un valor aproximado de 2,89 millones de dólares. Ya el 4 de agosto de 2022 se había puesto en contacto con el director técnico de Nomad, confesó haber buscado vulnerabilidades, se disculpó por lo ocurrido e incluso exigió una “recompensa” de 500 mil dólares.

En los informes iniciales de TRM Labs aparecía otro nombre — Osi Morrell. Sin embargo, el 17 de mayo de 2025 se publicó una corrección que confirmó que se trataba precisamente de Alexander Gurevich. En el momento de su arresto, intentaba salir de Israel por el aeropuerto Ben Gurión usando documentos a nombre de Alexander Block, nombre que había cambiado oficialmente poco antes de su detención.

El caso de Nomad Bridge se considera uno de los ejemplos más ilustrativos de cómo incluso las vulnerabilidades más simples en la infraestructura DeFi pueden llevar a robos masivos y a la participación de cientos de carteras anónimas. A pesar de la aparente anonimidad de las transacciones blockchain, el análisis de rastros digitales y la cooperación internacional permiten identificar a los organizadores incluso años después.