„Crowd-Looting“ von Nomaden löst Exodus von anderen Blockchains aus

Benutzer sind aus Blockchains geflohen, die mit Nomad verbunden sind, dem Bridge-Protokoll, das am Montagabend bei einem Exploit geleert wurde.

Laut Daten von Defi Llama hatten die Benutzer bis Dienstag mehr als die Hälfte des in Moonbeam gesperrten Wertes und ein Drittel des in Cardano seit Beginn des Angriffs gesperrten Wertes abgehoben.

Bridges ermöglichen es Benutzern, digitale Assets zwischen ansonsten inkompatiblen Blockchains zu verschieben, und haben sich als lukratives Ziel für Hacker erwiesen. 

„Crowd-Looting“

Mit ungefähr 190 Millionen Dollar gestohlen, der Hack am Montag war laut einem „Leaderboard” verwaltet von der Krypto-Nachrichten-Website Rekt. Nur die Hacks der Ronin-Brücke von Axie Infinity und der Wurmloch-Brücke von Solana waren mit 624 Mio. USD bzw. 326 Mio. USD größer. 

Twitter-Nutzer foobar nannte es „Das erste dezentralisierte Crowd-Looting einer 9-stelligen Brücke in der Geschichte.“

Experten, die diese Woche die sozialen Medien nutzten, sagten, das Geld sei nicht von einem einzigen, fähigen Hacker genommen worden, sondern von Dutzenden von Menschen, die das Krypto-Äquivalent einer unverschlossenen Villa gesehen und hineingegangen sind, um zu greifen, was sie ausführen konnten.

Nomad Bridge gehackt und 45 Millionen Dollar gestohlen

Matt Gleason, ein Sicherheitsforscher bei der Risikokapitalgesellschaft a16z, sagte, der Exploit sei dem ähnlich, mit dem Qbit Anfang des Jahres 80 Millionen Dollar gestohlen wurde.

„Eine unsichere Konfiguration der Brücke führte dazu, dass ein bestimmter Pfad jede gesendete Transaktion zuließ“, sagte er schrieb auf Twitter, „was bedeutet, dass Sie nur nach dem ganzen Geld der Brücke fragen müssen, und Sie werden es bekommen.“

Die Krypto-Sicherheitsfirma Zellic hat den Fehler, der den Exploit ermöglichte, am Montag in einem Twitter-Thread detailliert beschrieben.

Unerfahrene Angreifer

„Diese Schwachstelle war so schwerwiegend, dass selbst unerfahrene Angreifer sie sofort als Waffe nutzen konnten“, sagte Zellic twitterte. „Alles, was sie tun mussten, war, die Adresse des Empfängers zu ändern.“

Mindestens sechs barmherzige Samariter – in der Fachsprache als White-Hat-Hacker bekannt – konnten laut einer Krypto-Sicherheitsfirma mehr als 8 Millionen Dollar zur sicheren Aufbewahrung wegschleichen, bevor andere sie stehlen konnten Peckschild.

Protokolle, die die Nomad Bridge verwendeten, verzeichneten nach dem Hack erhebliche Abflüsse. Neben Cardano und Moonbeam verloren laut Defiant Llama zwei der dreißig größten Blockchains, gemessen am Gesamtwert, auch die kleineren Blockchains Evmos und Milkomeda in den 24 Stunden nach dem Hack mehr als ein Drittel ihres Gesamtwerts.

Tanzen auf dem Grab des Nomaden

Evmos-Gründer Federico Kunze Küllmer kritisierte auf Twitter andere, die am Dienstag auf dem Grab von Nomad tanzten. 

„Selbst die klügsten Teams (dApps und L1s) können unter Upgrade-Bugs leiden. Fast alle Top-@cosmos-Ketten haben das in der Vergangenheit getan“, er schrieb, die sich auf eine andere Layer-1-Blockchain bezieht. „Wir stimmen uns direkt mit dem Nomad-Team und mit unserer Community ab, um über die nächsten Schritte zu entscheiden.“

Vertreter von Evmos und Moonbeam antworteten am Dienstag nicht sofort auf eine Bitte um Stellungnahme. 

Gestohlenes Geld

In einer Aussage, sagte Nomad, dass es mit Strafverfolgungsbehörden und „führenden Firmen für Blockchain-Intelligenz und Forensik“ zusammenarbeite, um das gestohlene Geld zu finden und wiederzubekommen, und dankte „unseren White-Hat-Freunden“. Die Mitbegründer von Nomad, Barbara Liau und Pranay Mohan, haben am Dienstag keine Nachrichten mit der Bitte um einen Kommentar zurückgegeben. 

Einige bezweifeln jedoch, dass das Geld zurückgefordert werden könnte.

„Derzeit ist nichts zu tun, außer Gelder von Whitehats zurückzubekommen, die präventiv abgelassen wurden“, sagt Nassim Eddequiouaq, Chief Information Security Officer von a16z. twitterte.