Sicherheit

Nomad Bridge: User plündern kollektiv 150 Millionen Dollar

Elster sitzt auf einer Mauer
Bildquelle: Jinho Kim, pixabay.com

  • Die Nomad Cross-Chain-Bridge wurde durch einen Exploit komplett leergeräumt.
  • Dabei geriet die Vorgehensweise eines einzelnen Hackers an die Öffentlichkeit.
  • Weil man im Prinzip nur eine Kommandozeile kopieren musste, fingen Hunderte Nutzer damit an, das Protokoll zu plündern und hoben Kryptowährungen ab.

Die Nomad-Bridge erlitt letzte Nacht einen Exploit der besonderen Art. Anscheinend machten die Entwickler des Protokolls einen entscheidenden Fehler während eines Upgrades und veränderten einen Wert im Smart Contract der Bridge. Danach war es im Prinzip jedermann möglich, digitale Assets abzuheben, ohne sich weiter autorisieren zu müssen.

Als wäre das nicht genug, landete ein Code-Schnipsel, mit dem ein Hacker den Smart Contract bediente, in diversen Chatgruppen. Der Clou an der Sache: Jeder, der den Schnipsel hatte, konnte seine eigene Ethereum-Adresse einsetzen und über Etherscan den Exploit replizieren. Tiefere Kenntnisse waren nicht nötig, um das Kommando auszuführen. Damit handelt es sich gewissermaßen um den ersten dezentralen Raubzug in der Geschichte der Kryptowährungen.

Die Folge war, dass sich ein Mob von Usern über den Smart Contract hermachten und fleißig Token abhoben, bis Nomad komplett leergesaugt war. Bei Nomad handelt es sich um eine sogenannte Cross-Chain-Bridge. Eine solche Bridge ermöglicht es, digitale Assets zwischen verschiedenen Blockchains zu bewegen. Weil dazu die Assets in der Regel auf der einen Blockchain gesperrt und auf der Zielseite entsperrt werden müssen, gelten solche Smart Contracts aufgrund der Komplexität des Vorgangs als besonders anfällig.

Einige User wollten auch helfen

Am Ende ist das Bild aber nicht annähernd so finster, wie es zunächst scheint, denn stellenweise siegte auch das Gute im Menschen. Via Twitter meldeten sich Dutzende User, die ihre vermeintliche Beute zurückgeben wollen. Es scheint, als hätten viele mit dem Plan auf das Vermögen zugegriffen, um es für Nomad in Verwahrung zu nehmen und damit kein anderer es tatsächlich klauen kann.

Aktuell ist noch unklar, welche Summe durch die „White Hats“ zurückerstattet werden wird. Der Gesamtschaden beziffert sich auf 150 Millionen US-Dollar. Erst kurz vor dem Exploit warb Nomad weitere Mittel ein und erhielt so 22 Millionen US-Dollar von Investoren. Dabei rühmte man besonders die Sicherheit des eigenen Softwareprodukts. Nomad ist nicht die erste Bridge, die gehackt wurde und vermutlich auch nicht die letzte. So gingen etwa im Februar 2022 rund 320 Millionen US-Dollar beim spektakulären Wormhole-Hack verloren.

Ähnliche Beiträge

FTX: „Hacker“ bewegt Assets – Ethereum-Kurs unter Druck

Johann Nicol Werther

Auf den Spuren des FTX Hackers: Identität bekannt? 

Johann Nicol Werther

FTX Hack: 600 Millionen USD weg – App verbreitet Malware

Robert Steinadler