Nomad 'Crowd-Looting' triggert exodus uit andere blockchains

Gebruikers zijn gevlucht voor blockchains die zijn aangesloten bij Nomad, het bridge-protocol dat maandagavond in een exploit werd geleegd.

Volgens gegevens over Defi Llama hadden gebruikers dinsdag meer dan de helft van de waarde in Moonbeam en een derde van de waarde in Cardano ingetrokken sinds de aanval begon.

Bridges stellen gebruikers in staat om digitale activa tussen anders incompatibele blockchains te verplaatsen en zijn een lucratief doelwit voor hackers gebleken. 

'Crowd-plundering'

Met ongeveer $ 190 miljoen gestolen, de hack van maandag was de derde grootste van 2022 en de vijfde grootste in DeFi-geschiedenis, volgens een "leaderboard” onderhouden door crypto-nieuwswebsite Rekt. Alleen de hacks van de Ronin-brug van Axie Infinity en de Wormhole-brug van Solana waren groter, met respectievelijk $ 624 miljoen en $ 326 miljoen. 

Twitter-gebruiker foobar noemde het "de eerste gedecentraliseerde crowd-plundering van een 9-cijferige brug in de geschiedenis."

Experts die deze week naar sociale media gingen, zeiden dat het geld niet werd gestolen door een enkele, capabele hacker, maar door tientallen mensen die het crypto-equivalent van een ontgrendeld herenhuis zagen en naar binnen gingen om te pakken wat ze konden uitvoeren.

Nomad Bridge gehackt met $ 45 miljoen gestolen

Matt Gleason, een beveiligingsonderzoeker bij het durfkapitaalbedrijf a16z, zei dat de exploit vergelijkbaar was met die waarmee aan het begin van het jaar 80 miljoen dollar van Qbit werd gestolen.

"Een onveilige configuratie van de bridge veroorzaakte een specifiek pad om elke verzonden transactie toe te staan", zei hij schreef op Twitter, "wat betekent dat je alleen maar om al het geld van de brug hoeft te vragen en je krijgt het."

Crypto-beveiligingsbedrijf Zellic heeft maandag in een Twitter-thread de bug beschreven die de exploit mogelijk maakte.

Ongeavanceerde aanvallers

"Deze kwetsbaarheid was zo ernstig dat zelfs onervaren aanvallers het onmiddellijk konden bewapenen", zei Zellic tweeted. "Het enige wat ze hoefden te doen, was het adres van de ontvanger wijzigen."

Minstens zes barmhartige samaritanen - in de industrie bekend als white hat-hackers - waren in staat om meer dan $ 8 miljoen weg te e-mailen voor bewaring voordat anderen het konden stelen, volgens crypto-beveiligingsbedrijf Peckschild.

Protocollen die de Nomad-brug gebruikten, zagen een aanzienlijke uitstroom in de nasleep van de hack. Naast Cardano en Moonbeam, twee van de dertig grootste blockchains gemeten naar totale waarde vergrendeld, verloren ook kleinere blockchains Evmos en Milkomeda meer dan een derde van hun totale waarde in de 24 uur na de hack, aldus Defiant Llama.

Dansen op het graf van Nomad

Evmos-oprichter Federico Kunze Küllmer ging dinsdag naar Twitter om anderen te bekritiseren die op het graf van Nomad dansten. 

“Zelfs de slimste teams (dApps en L1's) kunnen last hebben van upgradebugs. Bijna alle top @cosmos-ketens hebben dat in het verleden gedaan, "hij schreef, verwijzend naar een andere Layer 1-blockchain. "We coördineren rechtstreeks met het Nomad-team en met onze gemeenschap om te beslissen over de volgende stappen."

Vertegenwoordigers van Evmos en Moonbeam reageerden dinsdag niet meteen op een verzoek om commentaar. 

gestolen geld

In een verklaring, Nomad zei dat het samenwerkte met wetshandhavingsinstanties en "leidende bedrijven voor blockchain-inlichtingen en forensisch onderzoek" om het gestolen geld te vinden en terug te halen, en bedankte "onze vrienden met een witte hoed". Nomad mede-oprichters Barbara Liau en Pranay Mohan hebben dinsdag geen berichten teruggestuurd met het verzoek om commentaar. 

Maar sommigen betwijfelen het idee dat het geld kan worden teruggevorderd.

"Op dit moment valt er niets te doen, behalve geld terugkrijgen van whitehats die preventief zijn leeggelopen", zegt Nassim Eddequiouaq, Chief Information Security Officer van a16z, tweeted.