Als Diebe letzte Woche geschätzte 190 Millionen Dollar von der US-Kryptofirma Nomad stahlen, war dies der siebte Hack im Jahr 2022, der ein zunehmend wichtiges Zahnrad in der Kryptomaschine zum Ziel hatte: Blockchain-"Brücken" - Code-Strings, die helfen, Krypto-Münzen zwischen verschiedenen Anwendungen zu bewegen.
In diesem Jahr haben Hacker bisher Kryptowährungen im Wert von etwa 1,2 Milliarden Dollar von den Brücken gestohlen, wie Daten des in London ansässigen Blockchain-Analyseunternehmens Elliptic zeigen, was bereits mehr als das Doppelte der Summe des Vorjahres ist.
"Dies ist ein Krieg, bei dem weder die Cybersicherheitsfirma noch das Projekt gewinnen kann", sagte Ronghui Hu, Professor für Informatik an der Columbia University in New York und Mitbegründer der Cybersicherheitsfirma CertiK.
"Wir müssen so viele Projekte schützen. Wenn sie (Hacker) sich ein Projekt ansehen und keine Fehler finden, können sie einfach zum nächsten weitergehen, bis sie eine Schwachstelle finden."
Gegenwärtig laufen die meisten digitalen Token auf ihrer eigenen Blockchain, im Wesentlichen ein öffentliches digitales Hauptbuch, das Kryptotransaktionen aufzeichnet. Dies birgt die Gefahr, dass Projekte, die diese Münzen verwenden, isoliert werden, was ihre Aussichten auf eine breite Nutzung verringert.
Blockchain-Bridges zielen darauf ab, diese Mauern einzureißen. Befürworter sagen, dass sie eine fundamentale Rolle im "Web3" spielen werden - der vielgepriesenen Vision einer digitalen Zukunft, in der Kryptowährungen in das Online-Leben und den Online-Handel eingebunden sind.
Doch Brücken können das schwächste Glied sein.
Der Nomad-Hack war der achtgrößte Krypto-Diebstahl aller Zeiten. Zu den anderen Diebstählen von Brücken in diesem Jahr gehören ein 615-Millionen-Dollar-Diebstahl bei Ronin, das in einem beliebten Online-Spiel verwendet wird, und ein 320-Millionen-Dollar-Diebstahl bei Wormhole, das in sogenannten dezentralen Finanzanwendungen verwendet wird.
"Blockchain-Bridges sind der fruchtbarste Boden für neue Schwachstellen", sagte Steve Bassi, Mitbegründer und CEO des Malware-Detektors PolySwarm.
ACHILLES HEEL
Nomad und andere Unternehmen, die Blockchain-Bridge-Software herstellen, haben Rückendeckung erhalten.
Nur fünf Tage bevor das Unternehmen gehackt wurde, gab Nomad mit Sitz in San Francisco bekannt, dass es 22,4 Millionen Dollar von Investoren erhalten hat, darunter die große Börse Coinbase Global. Pranay Mohan, CEO und Mitbegründer von Nomad, bezeichnete sein Sicherheitsmodell als "Goldstandard".
Nomad reagierte nicht auf Anfragen zur Stellungnahme.
Nomad hat erklärt, dass es mit Strafverfolgungsbehörden und einer Blockchain-Analysefirma zusammenarbeitet, um die gestohlenen Gelder aufzuspüren. Ende letzter Woche kündigte Nomad ein Kopfgeld von bis zu 10% für die Rückgabe der von der Brücke gehackten Gelder an. Am Samstag teilte das Unternehmen mit, dass es bisher über 32 Millionen Dollar der gehackten Gelder wiedererlangt hat.
"Das Wichtigste bei der Kryptowährung ist die Gemeinschaft, und unser wichtigstes Ziel ist die Wiederherstellung der überbrückten Nutzergelder", sagte Mohan. "Wir werden jede Partei, die 90% oder mehr der erbeuteten Gelder zurückgibt, als White Hat behandeln. Wir werden White Hats nicht strafrechtlich verfolgen", sagte er und bezog sich dabei auf die sogenannten ethischen Hacker.
Mehrere Cybersicherheits- und Blockchain-Experten erklärten gegenüber Reuters, dass die Komplexität von Brücken eine Achillesferse für Projekte und Anwendungen darstellen könnte, die sie nutzen.
"Ein Grund, warum Hacker in letzter Zeit diese kettenübergreifenden Brücken ins Visier genommen haben, ist die immense technische Raffinesse, die mit der Erstellung dieser Art von Diensten verbunden ist", sagte Ganesh Swami, CEO des Blockchain-Datenunternehmens Covalent in Vancouver, das einige Kryptowährungen auf Nomads Brücke gespeichert hatte, als diese gehackt wurde.
Einige Bridges erstellen zum Beispiel Versionen von Kryptomünzen, die sie mit verschiedenen Blockchains kompatibel machen und die ursprünglichen Münzen in Reserve halten. Andere verlassen sich auf intelligente Verträge, komplexe Vereinbarungen, die Geschäfte automatisch ausführen.
Der Code, der in all diesen Fällen verwendet wird, kann Bugs oder andere Schwachstellen enthalten, die Hackern Tür und Tor öffnen.
BUG BOUNTIES
Wie kann man das Problem also am besten angehen?
Einige Experten sind der Meinung, dass Audits von intelligenten Verträgen helfen könnten, sich vor Cyber-Diebstählen zu schützen, ebenso wie "Bug Bounty"-Programme, die Anreize für die offene Überprüfung des Codes von intelligenten Verträgen bieten.
Andere fordern eine geringere Konzentration der Kontrolle über die Brücken durch einzelne Unternehmen, was ihrer Meinung nach die Widerstandsfähigkeit und Transparenz des Codes erhöhen könnte.
"Cross-Chain-Bridges sind ein attraktives Ziel für Hacker, weil sie oft eine zentralisierte Infrastruktur nutzen, die meist Vermögenswerte sperrt", sagte Victor Young, Gründer und Chefarchitekt des US-Blockchain-Unternehmens Analog.
