Neuer Hack in der Welt der Cross-Chain-Bridge: Nomad hat eine Schwachstelle in seinen Smart Contracts ausgenutzt und 190 Millionen US-Dollar abfließen lassen, was fast dem gesamten gesperrten Wert (TVL) des Unternehmens entspricht. Einige Personen nutzten die Lücke jedoch, um so viel Geld wie möglich abzuziehen, um es zu schützen, und erklärten sich bereit, es so schnell wie möglich zurückzugeben.
Katastrophe für die Cross-Chain-Bridge Nomad
Eine große Sicherheitslücke wurde heute Nacht massiv genutzt und führte dazu, dass mehr als 190 Millionen US-Dollar in die Nomad Cross-Chain Bridge flossen, die den Austausch von Token zwischen Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 und Evmos ermöglicht.
Fast alle Fonds wurden so blitzschnell aus der Bridge geräumt, wie diese Grafik aus den auf DefiLlama verfügbaren Daten zeigt:
Gesperrter Gesamtwert (TVL) auf der Nomad Bridge
Den On-Chain-Daten zufolge hätte die erste betrügerische Transaktion einem Nutzer der Bridge erlaubt, 100 wBTC abzuheben, die zu diesem Zeitpunkt 2,3 Millionen US-Dollar wert waren. So wurde die Schwachstelle nach und nach bekannt, die es jedem ermöglichte, aufgrund einer Schwachstelle in den Smart Contracts mehrmals denselben Betrag abzuheben.
Glücklicherweise konnten sich einige Personen profilieren, indem sie so viel Geld wie möglich abhoben und dann erklärten, sie hätten als Whitehat gehandelt, um das Geld zu schützen, und würden es zurückgeben, sobald ihnen eine vertrauenswürdige Zieladresse genannt würde, wie diese Transaktion beweist.
Die Hintergründe des Exploits
Nach einem Post Mortem von @samczsun, einem Forscher bei Paradigm, soll die Schwachstelle direkt aus einem Update der Smart Contracts der Nomad Bridge stammen.
1/ Nomad wurde gerade für über 150 Mio. $ in einem der chaotischsten Hacks, die Web3 je gesehen hat, ausgelaugt. Wie genau kam es dazu und was war die Ursache? Allow me to take you behind the scenes pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
Wenn ein Token über eine Brücke übertragen wird, wird es an einen Smart Contract gesperrt, bevor es in eingewickelter Form (wrapped) weiterverteilt wird.
In dem hier behandelten Fall ermöglichte es die Schwachstelle im Smart Contract Nutzern, Geld abzuheben, das ihnen nicht gehörte. Sehr vereinfacht gesagt, führte ein Codefehler im Smart Contract dazu, dass alle Transaktionen automatisch validiert und in einer Schleife wiederholt wurden.
Aus diesem Grund konnte diese Schwachstelle sehr breit und vor allem von fast jedem ausgenutzt werden, da nur sehr wenige Manipulationen erforderlich waren.
Dieses Ereignis erinnert einmal mehr an die besondere Gefährdung von Cross-Chain-Protokollen, die sehr oft in große Hacks verwickelt sind, deren Auswirkungen sich mechanisch auf andere Akteure ausweiten. Hier zum Beispiel berichtete das Evmos-Blockchain-Team, dass dieser Hack seine TVL erheblich beeinträchtigt habe.
Mit einer Summe von über 190 Millionen US-Dollar ist dieser Hack der fünftgrößte Hack in der Geschichte der Kryptowährungen, gleich nach dem Hack von Bitmart, der sich im April 2021 auf 196 Millionen US-Dollar belief.
