- Der Nomad-Vorfall ist nach Wormhole und Ronin der drittgrößte Kryptowährungs-Hack des Jahres
- Rund 41 Adressen haben Kryptowährung aus dem Protokoll abgezogen
Token Bridge Nomad hat einen „wahnsinnigen Free-for-all“ erlitten, nachdem Angreifer das Protokoll für mehr als 190 Millionen Dollar in Kryptowährung überfallen hatten.
Nomad, das sich selbst als „Security-First“-Plattform für den Versand von ERC-20-Token zwischen kompatiblen Blockchains vermarktet, bestätigte die Razzia in einem Tweet am Dienstagmorgen.
Der Vorfall unterscheidet sich von anderen groß angelegten Hacks, um Token-Brücken in diesem Jahr lahmzulegen. Token Bridges ermöglichen es Krypto-Benutzern, digitale Assets über Netzwerke zu portieren, indem sie sie zunächst in einem Smart Contract sperren.
Die Brücke gibt dann auf der anderen Seite einen abgeleiteten Token aus, einen „verpackten Vermögenswert“, dessen Werte durch ihre ursprünglichen Einzahlungen gedeckt sind. Nomad unterstützt Ethereum, Avalanche, Evmos und Moonbeam.
Beim Wurmloch-Hack im Februar nutzten Angreifer fehlerhaften Smart-Contract-Code aus, um sich 320 Millionen Dollar in Wrapped Ether zu prägen, ohne die erforderlichen Sicherheiten zu hinterlegen.
Der im März bekannt gegebene Bridge-Angriff von Axie Infinite Ronin beinhaltete eine monatelange Phishing-Kampagne zum Erwerb privater Schlüssel, die mit seiner Multisig-Wallet verbunden waren, was dazu führte, dass rund 625 Millionen US-Dollar an Krypto gestohlen wurden (beide Vorfälle hatten einen Wert zum Zeitpunkt des Angriffs).
Aber Sam Sun, Sicherheitschef der Digital-Asset-Investmentfirma Paradigm, erklärte in einem Twitter-Thread, dass Nomads Diebe nichts über die Ethereum-Programmiersprache Solidity wissen mussten, um mit Benutzersicherheiten davonzukommen.
Der Hacker von Rari Capital kehrte zurück, um Nomad zu überfallen
Die Entwickler von Nomad hatten versehentlich ein routinemäßiges Upgrade durchgeführt, das das Protokoll anwies, jede Transaktion mit dem Standard-Root-Hash von „0x00“ zu verarbeiten, wobei Blockchain-Netzwerke normalerweise einen eindeutigen und spezifischen Root als Beweis dafür benötigen, dass die Transaktion gültig ist.
Dies bedeutete, dass Nomad jede dem Protokoll vorgelegte Transaktion effektiv genehmigen würde. Nachdem ein Angreifer große illegale Übertragungen erkannt und initiiert hatte, kopierten andere Benutzer einfach ihr Transaktionsskript und ersetzten die Empfängeradresse durch ihre eigene, erklärte Victor Young, Chefarchitekt des Interoperabilitätsnetzwerks Analog.
Für Young besteht ein entscheidender Vorteil intelligenter Vertragsplattformen, wie denen von Nomad, darin, dass es sich um Turing-vollständige Systeme handelt. Sie können „praktisch alles berechnen, was ein moderner digitaler Computer aus mathematischer Sicht leisten kann“, sagte Young.
„Leider führt dies zu unzähligen und unbekannten Angriffsvektoren, die den Smart Contract für Hacks öffnen“, sagte Young gegenüber Blockworks. „Wenn Sie dies mit nachlässigen Entwicklern kombinieren, die es versäumen, einen robusten Satz von Testmechanismen zu implementieren, erhalten Sie die lächerliche Kernschmelze, die wir derzeit erleben.“
Quelle: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/