Das Cross-Chain-Messaging-Protokoll Nomad ist zum Ziel des jüngsten neunstelligen Angriffs von Crypto geworden, nachdem Hacker einen „chaotischen“ Sicherheits-Exploit missbraucht hatten, um fast 200 Millionen US-Dollar an digitalen Vermögenswerten zu stehlen.
Nomad, eine Token-Bridge, die es Benutzern ermöglicht, Token zwischen Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) und Milkomeda C1-Blockchains zu senden und zu empfangen, wurde am Montag angegriffen, wobei Hacker fast alle davon entleerten Protokollmittel.
Etwa 190,7 Millionen US-Dollar an Krypto wurden von der Brücke gestohlen, so die dezentrale Finanzverfolgungsplattform DeFi-Lamawas zeigt, dass der aktuelle gesperrte Gesamtwert – der Betrag der in einem DeFi-Protokoll eingezahlten Benutzergelder – zum Zeitpunkt des Schreibens weniger als 12.000 US-Dollar beträgt.
Nomad muss noch bestätigen, wie Hacker die Gelder stehlen konnten. Aber gem samczsun, dem Leiter der Sicherheitsabteilung bei der web3-Investmentfirma Paradigm, hat ein kürzlich erfolgtes Update eines Smart Contracts von Nomad es den Benutzern leicht gemacht, Transaktionen zu fälschen. Das bedeutete, dass Nomad, wenn ein Benutzer Geld von einer Blockchain auf eine andere überwies, den Betrag angeblich nie überprüfte, sodass der Benutzer Geld abheben konnte, das ihm nicht gehörte. Beispielsweise könnte ein Benutzer beispielsweise 1 ETH senden und dann den Smart Contract auf der anderen Blockchain manuell aufrufen, um 100 ETH zu erhalten. Blockchain-Prüfungsunternehmen Zellic kam auch dazu das gleiche Fazit.
„Es ist, als würde man ein Scheckbuch verwenden, um Geld von einer Bank abzuheben, und die Bank überprüft nicht, ob wir tatsächlich genug Geld haben“, sagte Adrian Hetman, technischer Leiter des Triage-Teams beim Web3-Bug-Bounty-Programm Immunefi, gegenüber Tech. „Sie kümmern sich nur darum, dass der Scheck selbst gültig aussieht.“
Samczun erklärt, dass im Gegensatz zu den meisten Bridge-Angriffen, bei denen ein einziger Schuldiger hinter dem gesamten Exploit steckt, der „chaotische“ Nomad-Angriff ein kostenloser Angriff für alle war, bei dem Opportunisten herbeiströmten, um Gelder von der Brücke zu stehlen, sobald sich die Nachricht herumgesprochen hatte, was zu dem führte, was der Forscher beschrieb als „rasender Free-for-all“. Blockchain-Sicherheitsfirma Spitzschild sagte, dass mehr als 41 Adressen 152 Millionen Dollar abgezogen haben – oder 80 % der gestohlenen Gelder.
„Alles, was erforderlich war, um es auszunutzen, war, die Transaktion des ursprünglichen Hackers zu kopieren und die ursprüngliche Adresse in eine benutzerdefinierte zu ändern. Einfaches Kopieren und Einfügen“, fügte Hetman hinzu.
Der Vorfall betraf Wrapped Ether (WETH), USD Coin (USDC), WBTC und andere Token, die von der Brücke abgelassen wurden.
Tech hat Nomad kontaktiert, aber noch keine Antwort erhalten. Allerdings das Unternehmen ging zu Twitter um vor Imitatoren zu warnen, die versuchen, Geld zu sammeln. „Uns sind Imitatoren bekannt, die sich als Nomaden ausgeben und betrügerische Adressen angeben, um Geld zu sammeln“, hieß es. „Wir geben noch keine Anweisungen zur Rückgabe von Überbrückungsgeldern. Ignorieren Sie Mitteilungen von allen Kanälen außer dem offiziellen Kanal von Nomad.“
In einem separaten Tweet bestätigte Nomad, dass es die Strafverfolgungsbehörden benachrichtigt und führende Firmen für Blockchain-Intelligenz und Forensik mit dem Ziel beauftragt hat, „die beteiligten Konten zu identifizieren und die Gelder aufzuspüren und zurückzugewinnen“.
Der Angriff erfolgt nur wenige Tage nach Nomad aufgedeckt dass eine Reihe hochkarätiger Krypto-Investoren, darunter Coinbase Ventures, Offenes MeerPolygon und Crypto.com Capital, hatten an ihrer Seed-Runde im April von 22 Millionen Dollar teilgenommen, die dem Unternehmen eine Bewertung von 225 Millionen Dollar einbrachte.
„Unser Ziel bei Nomad ist es, die Kommunikation über Blockchains sicherer zu machen“, sagte Nomad letzte Woche. „Wir glauben, dass sicheres Cross-Chain-Messaging der Schlüssel zur Vereinigung von DeFi-Ökosystemen und zur Erschließung der wahren Kraft und des Potenzials des Blockraums ist, wo immer es auch sein mag.“
Der Nomad-Angriff ist der jüngste in einer Reihe von viel beachteten Vorfällen, die die Sicherheit von Cross-Chain-Brücken in Frage gestellt haben. Die Ronin-Brücke von Axie Infinity verlor im April dieses Jahres durch einen Hack mehr als 600 Millionen US-Dollar, und der Horizon-Brücke von Harmony wurden im Juni 100 Millionen US-Dollar entzogen.