Il cittadino americano-israeliano Alexander Gurevich è stato arrestato a Gerusalemme con l’accusa di essere coinvolto in uno dei più grandi attacchi informatici nella storia della finanza decentralizzata. L’attacco in questione riguarda il ponte cross-chain Nomad, che ha portato al furto di circa 190 milioni di dollari in criptovalute nell’agosto 2022.

Secondo la piattaforma analitica TRM Labs, sono stati i loro specialisti a fornire alle agenzie internazionali di contrasto le informazioni che hanno permesso loro di stabilire l’identità di Gurevich. Il suo arresto è stato il risultato del coordinamento tra la polizia israeliana, il Dipartimento di Giustizia degli Stati Uniti, l’FBI e l’Interpol. Gurevich sarà presto estradato negli Stati Uniti; sono già state concordate le necessarie procedure legali.

Nomad Bridge è un protocollo che consente agli utenti di trasferire asset tra diverse blockchain. Il 1° agosto 2022, gli aggressori hanno sfruttato una vulnerabilità nella funzione process() dello smart contract Replica, emersa dopo un aggiornamento. Invece di verificare completamente la prova del messaggio, il sistema accettava qualsiasi transazione con un hash di radice corretto, indipendentemente dalla sua validità. Ciò ha consentito all’aggressore di aggirare il controllo e di prelevare fondi dal bridge.

Lo schema in sé era così primitivo che è stato rapidamente copiato da centinaia di altri wallet: era sufficiente ripetere il formato di una transazione riuscita. L’attacco hacker “in stile mob” che ne risultò si trasformò in un attacco di massa spontaneo, con centinaia di partecipanti che saccheggiarono simultaneamente le risorse del bridge. In totale sono stati rubati più di 190 milioni di dollari in ETH, USDC, WBTC e altri token ERC-20.

Sebbene Gurevich, secondo TRM Labs, non abbia creato l’exploit né lanciato l’attacco, il suo ruolo nel crimine è considerato fondamentale. Ha collaborato con i primi partecipanti ed è stato coinvolto nel riciclaggio di ingenti quantità di beni rubati. I portafogli associati hanno iniziato a ricevere fondi nel giro di poche ore dall’attacco.

Gurevich ha utilizzato il “chain-hopping” per nascondere le sue tracce, trasferendo fondi tra diverse blockchain tramite il mixer Tornado Cash e trasferendo anche ethereum nelle criptovalute anonime Monero (XMR) e Dash. Per incassare la criptovaluta, ha utilizzato exchange non depositari, broker over-the-counter, conti offshore e società fittizie. Una parte dei fondi è stata trasferita in valuta fiat tramite piattaforme che non richiedono la verifica dell’identità.

Nonostante il sistema di occultamento a più stadi e il lungo lasso di tempo trascorso dall’attacco, gli specialisti sono riusciti a tracciare le transazioni e a stabilire un contatto con Gurevich, cosa che ha portato al suo arresto. Secondo i pubblici ministeri, l’uomo avrebbe personalmente prelevato da Nomad Bridge asset digitali per un valore di circa 2,89 milioni di dollari. Inoltre, il 4 agosto 2022, contattò il direttore tecnico di Nomad, ammise di essere alla ricerca di vulnerabilità, si scusò per l’accaduto e chiese addirittura una “ricompensa” di 500 mila dollari.

Inizialmente, nei rapporti di TRM Labs compariva un nome diverso: Ocie Morrell. Tuttavia, il 17 maggio 2025 è stato pubblicato un emendamento che confermava che la questione era in discussione. Al momento del suo arresto, stava tentando di lasciare Israele passando per l’aeroporto Ben Gurion, utilizzando documenti che riportavano il nome Alexander Blok, nome da lui ufficialmente cambiato poco prima dell’arresto.

Il caso Nomad Bridge è considerato uno degli esempi più chiari di come anche le vulnerabilità più semplici nell’infrastruttura DeFi possano portare a furti di massa e alla partecipazione di centinaia di wallet anonimi. Nonostante l’apparente anonimato delle transazioni blockchain, l’analisi delle tracce digitali e la cooperazione internazionale consentono di identificare gli organizzatori anche a distanza di anni.

L'articolo 190 milioni rubati in pochi click: così è stato arrestato l’uomo chiave del caso Nomad proviene da il blog della sicurezza informatica.