image

190 miljoen dollar gestolen via kwetsbaarheid in crypto bridge Nomad

dinsdag 2 augustus 2022, 17:30 door Redactie, 4 reacties

Een tijdens onderhoud veroorzaakte kwetsbaarheid in crypto bridge Nomad heeft geresulteerd in de diefstal van 190 miljoen dollar aan cryptovaluta. Dat laat Coindesk weten. Nomad is een protocol dat het mogelijk voor gebruikers maakt om tokens tussen verschillende blockchains uit te wisselen.

Wanneer een gebruiker cryptovaluta van de ene naar de andere blockchain wil versturen stopt de bridge die in een smart contact op de ene blockchain en geeft de tokens in een "wrapped" vorm uit op de andere blockchain. Wanneer het smart contract waar de tokens zich in eerste instantie bevonden een kwetsbaarheid bevat hebben de wrapped tokens geen dekking meer.

Het lijkt erop dat een configuratiefout in het smart contract dat Nomad gebruikte voor het verwerken van berichten ervoor zorgde dat gebruikers transacties konden vervalsen en geld van de andere bridge konden opnemen dat niet van hen was. Tijdens een routine upgrade had het Nomad-team de waarde van de trusted root op 0x00 gezet waardoor elk bericht automatisch werd goedgekeurd, verklaar onderzoeker Sam Sun.

Het enige dat nodig was om hier misbruik van te maken was het vinden van een transactie die werkte. Vervolgens moest het adres van deze andere persoon worden vervangen door het eigen adres en daarna opnieuw uitgezonden. Vanwege de eenvoud van de exploit werd hier vervolgens op grote schaal door onder andere bots misbruik van gemaakt. Zo kon de 190 miljoen dollar die de bridge bevatte worden gestolen. Nomad heeft een onderzoek naar de diefstal ingesteld.

Reacties (4)
02-08-2022, 21:31 door Anoniem
Wie van het Nomad-team zit te sjoemelen??
03-08-2022, 08:37 door Anoniem
Crypto,mooi hoor.
03-08-2022, 11:59 door Anoniem
Door Anoniem: Crypto,mooi hoor.

blockchain inderdaad mooi.

En dan krijg je ineens allemaal investeerders die snel geld willen maken met blockchain, die investeren dan in studenten projecten die rondrennen in een gebouw met plastic waterpistooltjes. Want dat is de nieuwe generatie met innovatie, en zie hier het resultaat.

Development teams die werken aan blockchain moeten de meest geavanceerde, ervaren etc. zijn. Maar nog steeds wordt het niveau van android appje gebruikt.
03-08-2022, 16:40 door jcx4
Het mooiste was nog, de betreffende bug was al in een audit opgemerkt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.