Um Kryptowährungen im Wert von 190 Millionen US-Dollar ist der Blockchaindienst Nomad am Montag erleichtert worden. Grund war offenbar ein Programmierfehler. Nomad ist eine sogenannte Bridge, ein Smart Contract, mit dem Kryptowerte von einer Blockchain in eine andere Chain übertragen werden können. Ein Fehler in einer Prüffunktion im Smart Contract der Bridge machte es wohl relativ einfach, die Kryptogeld-Einlagen abzusaugen.

Bei einer Bridge zahlt man auf der einen Seite einen Coin wie zum Beispiel Ether ein und erhält auf der anderen Seite einen Gegenwert in Tokens der anderen Chain. Die eingezahlten Coins sind dann im Smart Contract festgesetzt, bis Nutzer die anderen Tokens zurückgeben, um den Gegenwert wieder auszulösen. Mehr Wert, als man in diesen Tokens hat, sollte man nicht auslösen können – es sei denn, es findet sich wie in diesem Fall eine Möglichkeit, die Mechanik auszutricksen.

Der Fehler ist zufolge erster Analysen von Sicherheitsforschern bei einem kürzlichen Update passiert. Demnach wurde ein Wert für einen kryptografischen Beweis als gültig gesetzt (0x00 für acceptableRoot), der dann auch eine Prüfroutine aussetzte. Seither wurden Transaktionen als gültig akzeptiert, die es nicht waren.

Wer will noch mal, wer hat noch nicht?

Um das auszunutzen, reichte es den Berichten nach schon, Daten einer einmal als gültig angenommenen Transaktion zu nehmen, die Zieladresse durch eine eigene ersetzen, und damit dann wieder und wieder eine Abhebung im Smart Contract aufzurufen. Entsprechend finden sich zahlreiche Abhebungen mit identischen Summen wie etwa 202,440.725413 USDC.

Die Lücke machte nach einer initialen Transaktion eines Angreifers am Montag binnen kurzer Zeit die Runde und wurde dann von mehreren Akteuren ausgenutzt. "Und darum war dieser Hack auch so chaotisch", beschreibt es ein Blockchainforscher von der Krypto-Investmentfirma Paradigm in einem Twitterthread, "Man musste dafür nichts über Solidity oder Merkle Trees oder ähnliches wissen." Laut Zahlen von Defillama blieben nur noch rund 17.000 US-Dollar im Smart Contract der Bridge.

White-Hats retteten Geld

Wie der Fachdienst The Block unter Berufung auf die Sicherheitsfirma Peckshield schreibt, waren rund 300 Adressen am Leersaugen der Bridge beteiligt. Mindestens sechs davon seien wohl im Besitz von White-Hat-Hackern gewesen, die auch willens zur Rückzahlung seien. Sie hätten umgerechnet 8,2 Millionen US-Dollar retten können. Der Großteil des Geldes sei auf 41 Adressen gelandet.

Die Nomad-Betreiber erklärten, dass sie den Fall untersucht und die Polizei sowie Blockchain-Forensik-Firmen eingeschaltet hätten. Es ginge nun darum, alle beteiligten Konten aufzuspüren und das Geld zurückzubringen. Ebenfalls bedankte sich die Firmen bei befreundeten White-Hat-Hackern, die Gelder mit ihrem Einsatz geschützt hätten. Sie sollten die sichergestellten Coins zunächst aufbewahren, Instruktionen für eine Rückgabe würden folgen.

Bridges sind wegen der oftmals hohen Einlagensummen beliebte Angriffsziele. So wurden im März von einer Bridge des Blockchainspiels Axie Infinity Kryptowährungen im damaligen Wert von 550 Millionen US-Dollar gestohlen. Im Februar konnten Angreifer Kryptogeld im damaligen Wert von 300 Millionen US-Dollar von der Bridge Wormhole stehlen.

(axk)