Hackers halen bijna $ 200 miljoen weg van crypto-startup Nomad

Hackers hebben bijna $ 200 miljoen aan cryptocurrency van Nomad, een tool waarmee gebruikers tokens van de ene blockchain naar de andere kunnen wisselen, in weer een andere aanval die zwakke punten in de gedecentraliseerde financiële ruimte benadrukt.

Nomad erkende de exploit in een tweet eind maandag.

"We zijn op de hoogte van het incident met de Nomad-tokenbrug", aldus de startup. "We zijn momenteel bezig met onderzoek en zullen updates geven wanneer we ze hebben."

Het is niet helemaal duidelijk hoe de aanval werd georkestreerd, of dat Nomad van plan is gebruikers die tokens verloren bij de aanval terug te betalen. Het bedrijf, dat zichzelf op de markt brengt als een "veilige cross-chain messaging"-service, was niet onmiddellijk beschikbaar voor commentaar toen CNBC contact opnam.

Blockchain-beveiligingsexperts beschreven de exploit als een "gratis voor iedereen". Iedereen met kennis van de exploit en hoe het werkte, zou de fout kunnen grijpen en een aantal tokens van Nomad kunnen opnemen - een soort geldautomaat die geld uitspuwt met een druk op de knop.

Het begon met een upgrade naar Nomad's code. Een deel van de code werd als geldig gemarkeerd wanneer gebruikers besloten een overdracht te starten, waardoor dieven meer activa konden opnemen dan er op het platform waren gestort. Toen andere aanvallers doorhadden wat er aan de hand was, zetten ze legers van bots in om copycat-aanvallen uit te voeren.

"Zonder eerdere programmeerervaring zou elke gebruiker eenvoudig de transactie-oproepgegevens van de aanvallers kunnen kopiëren en het adres door dat van hen kunnen vervangen om het protocol te misbruiken", zegt Victor Young, oprichter en hoofdarchitect van crypto-startup Analog.

"In tegenstelling tot eerdere aanvallen, werd de Nomad-hack een free-for-all waarbij meerdere gebruikers het netwerk begonnen leeg te maken door simpelweg de transactie-oproepgegevens van de oorspronkelijke aanvallers opnieuw af te spelen."

Sam Sun, onderzoekspartner bij op crypto gerichte investeringsfirma Paradigm, beschreven de exploit als "een van de meest chaotische hacks die Web3 ooit heeft gezien" - Web3 is een hypothetische toekomstige iteratie van internet gebouwd rond blockchain-technologie.

Nomad is wat bekend staat als een 'brug', een tool waarmee gebruikers tokens en informatie kunnen uitwisselen tussen verschillende crypto-netwerken. Ze worden gebruikt als alternatief voor het rechtstreeks uitvoeren van transacties op een blockchain zoals Ethereum, die gebruikers hoge verwerkingskosten in rekening kan brengen wanneer er veel activiteiten tegelijk plaatsvinden.

Gevallen van kwetsbaarheden en een slecht ontwerp hebben bruggen tot een belangrijk doelwit gemaakt voor hackers die investeerders van miljoenen willen oplichten. Volgens een rapport van crypto-compliancebedrijf Elliptic is tot nu toe in 1 meer dan $ 2022 miljard aan crypto-activa gestolen via bridge-exploits.

In april werd een blockchain-brug genaamd Ronin uitgebuit in een $ 600 miljoen crypto-overval, die Amerikaanse functionarissen sindsdien hebben toegeschreven aan de Noord-Koreaanse staat. Enkele maanden later werd Harmony, een andere brug, bij een soortgelijke aanval voor $ 100 miljoen leeggemaakt.

Net als Ronin en Harmony werd Nomad het doelwit van een fout in de code, maar er waren een paar verschillen. Met die aanvallen konden hackers de privésleutels ophalen die nodig waren om controle over het netwerk te krijgen en tokens te verplaatsen. In het geval van Nomad was het veel eenvoudiger dan dat. Een routinematige update van de bridge stelde gebruikers in staat om transacties te vervalsen en met miljoenen cryptogeld aan de haal te gaan.