Hacker entziehen dem Krypto-Startup Nomad fast 200 Millionen Dollar

Hacker haben fast 200 Millionen US-Dollar an Kryptowährung von Nomad abgezogen, einem Tool, mit dem Benutzer Token von einer Blockchain in eine andere tauschen können, in einem weiteren Angriff, der Schwachstellen im Bereich der dezentralen Finanzen aufzeigt.

Nomad bestätigte den Exploit in einem Tweet am späten Montag.

„Wir sind uns des Vorfalls mit der Nomad Token Bridge bewusst“, sagte das Startup. „Wir untersuchen derzeit und werden Updates bereitstellen, sobald wir sie haben.“

Es ist nicht ganz klar, wie der Angriff orchestriert wurde oder ob Nomad plant, Benutzer zu entschädigen, die bei dem Angriff Token verloren haben. Das Unternehmen, das sich selbst als „sicheren Cross-Chain-Messaging“-Dienst vermarktet, war nicht sofort für einen Kommentar verfügbar, als es von CNBC kontaktiert wurde.

Blockchain-Sicherheitsexperten bezeichneten den Exploit als „free-for-all“. Jeder, der den Exploit und seine Funktionsweise kannte, konnte den Fehler erkennen und eine Menge Token von Nomad abheben – ähnlich wie ein Geldautomat, der auf Knopfdruck Geld ausspuckt.

Es begann mit einem Upgrade auf Nomads Code. Ein Teil des Codes wurde immer dann als gültig markiert, wenn sich die Benutzer entschieden, eine Überweisung einzuleiten, was es Dieben ermöglichte, mehr Vermögenswerte abzuheben, als auf der Plattform hinterlegt wurden. Nachdem andere Angreifer mitbekommen hatten, was vor sich ging, setzten sie Armeen von Bots ein, um Nachahmerangriffe durchzuführen.

„Ohne vorherige Programmiererfahrung könnte jeder Benutzer einfach die Transaktionsanrufdaten der ursprünglichen Angreifer kopieren und die Adresse durch ihre ersetzen, um das Protokoll auszunutzen“, sagte Victor Young, Gründer und Chefarchitekt des Krypto-Startups Analog.

„Im Gegensatz zu früheren Angriffen wurde der Nomad-Hack zu einem Free-for-all, bei dem mehrere Benutzer begannen, das Netzwerk zu leeren, indem sie einfach die Transaktionsanrufdaten der ursprünglichen Angreifer wiederholten.“

Sam Sun, Forschungspartner bei der kryptofokussierten Investmentfirma Paradigm, beschrieben der Exploit als „einer der chaotischsten Hacks, die Web3 je gesehen hat“ – Web3 ist eine hypothetische zukünftige Iteration des Internets, die auf der Blockchain-Technologie basiert.

Nomad ist eine sogenannte „Brücke“, ein Tool, mit dem Benutzer Token und Informationen zwischen verschiedenen Kryptonetzwerken austauschen können. Sie werden als Alternative zu Transaktionen direkt auf einer Blockchain wie verwendet Ethereum, wodurch Benutzern hohe Bearbeitungsgebühren in Rechnung gestellt werden können, wenn viele Aktivitäten gleichzeitig stattfinden.

Fälle von Schwachstellen und schlechtem Design haben Bridges zu einem Hauptziel für Hacker gemacht, die versuchen, Investoren um Millionen zu betrügen. Laut einem Bericht der Krypto-Compliance-Firma Elliptic wurden im Jahr 1 bisher mehr als 2022 Milliarde US-Dollar an Krypto-Vermögenswerten durch Bridge-Exploits gestohlen.

Im April wurde eine Blockchain-Brücke namens Ronin in einem ausgenutzt Kryptoraub im Wert von 600 Millionen US-Dollar, die US-Beamte seitdem dem nordkoreanischen Staat zugeschrieben haben. Einige Monate später wurden Harmony, eine weitere Brücke, bei einem ähnlichen Angriff 100 Millionen Dollar abgezogen.

Wie Ronin und Harmony wurde Nomad durch einen Fehler in seinem Code angegriffen – aber es gab ein paar Unterschiede. Mit diesen Angriffen waren Hacker in der Lage, die privaten Schlüssel abzurufen, die erforderlich waren, um die Kontrolle über das Netzwerk zu erlangen und mit dem Verschieben von Token zu beginnen. Im Fall von Nomad war es viel einfacher. Ein routinemäßiges Update der Brücke ermöglichte es Benutzern, Transaktionen zu fälschen und mit Krypto im Wert von Millionen davonzukommen.