Von Tom Wilson und Medha Singh
(Reuters) – Ein weiterer Tag, ein weiterer Hack – und eine weitere Blockchain-Brücke brannte.
Als Diebe letzte Woche geschätzte 190 Millionen US-Dollar von der US-Kryptofirma Nomad stahlen, war dies der siebte Hack im Jahr 2022, der auf ein immer wichtiger werdendes Rädchen in der Kryptomaschine abzielte: Blockchain-„Brücken“ – Codeketten, die dabei helfen, Kryptomünzen zwischen verschiedenen Anwendungen zu verschieben.
Bisher haben Hacker in diesem Jahr Krypto im Wert von rund 1,2 Milliarden US-Dollar von Brücken gestohlen, wie Daten des in London ansässigen Blockchain-Analyseunternehmens Elliptic zeigen, bereits mehr als doppelt so viel wie im Vorjahr.
„Dies ist ein Krieg, in dem die Cybersicherheitsfirma oder das Projekt nicht gewinnen kann“, sagte Ronghui Hu, Professor für Informatik an der Columbia University in New York und Mitbegründer der Cybersicherheitsfirma CertiK.
„Wir müssen so viele Projekte schützen. Für sie (Hacker), wenn sie sich ein Projekt ansehen und es keine Fehler gibt, können sie einfach zum nächsten übergehen, bis sie eine einzige Schwachstelle finden.“
Gegenwärtig laufen die meisten digitalen Token auf ihrer eigenen einzigartigen Blockchain, im Wesentlichen einem öffentlichen digitalen Hauptbuch, das Krypto-Transaktionen aufzeichnet. Dadurch besteht die Gefahr, dass Projekte, die diese Münzen verwenden, isoliert werden, was ihre Aussichten auf eine breite Verwendung verringert.
Blockchain-Brücken zielen darauf ab, diese Mauern einzureißen. Unterstützer sagen, dass sie eine grundlegende Rolle in „Web3“ spielen werden – der viel gepriesenen Vision einer digitalen Zukunft, in der Krypto in das Online-Leben und den Handel verstrickt ist.
Doch Brücken können das schwächste Glied sein.
Der Nomad-Hack war der achtgrößte Krypto-Diebstahl aller Zeiten. Andere Diebstähle von Brücken in diesem Jahr umfassen einen 615-Millionen-Dollar-Überfall bei Ronin, der in einem beliebten Online-Spiel verwendet wurde, und einen 320-Millionen-Dollar-Diebstahl bei Wormhole, der in sogenannten dezentralen Finanzanwendungen verwendet wurde.
„Blockchain-Brücken sind der fruchtbarste Boden für neue Schwachstellen“, sagte Steve Bassi, Mitbegründer und CEO des Malware-Detektors PolySwarm.
Achillesferse
Nomad und andere Unternehmen, die Blockchain-Bridge-Software herstellen, haben Unterstützung gefunden.
Nur fünf Tage vor dem Hack sagte Nomad mit Sitz in San Francisco, dass es 22,4 Millionen Dollar von Investoren, darunter der großen Börse Coinbase Global, gesammelt habe. Pranay Mohan, CEO und Mitbegründer von Nomad, nannte sein Sicherheitsmodell den „Goldstandard“.
Nomad reagierte nicht auf Anfragen nach Kommentaren.
Es hat gesagt, dass es mit Strafverfolgungsbehörden und einer Blockchain-Analysefirma zusammenarbeitet, um die gestohlenen Gelder aufzuspüren. Ende letzter Woche kündigte es eine Prämie von bis zu 10 % für die Rückgabe von Geldern an, die von der Brücke gehackt wurden. Es sagte am Samstag, es habe bisher über 32 Millionen Dollar der gehackten Gelder zurückerhalten.
„Das Wichtigste bei Krypto ist die Gemeinschaft, und unser oberstes Ziel ist die Wiederherstellung von überbrückten Benutzergeldern“, sagte Mohan. „Wir werden jede Partei, die 90 % oder mehr der ausgebeuteten Gelder zurückgibt, als White Hats behandeln. Wir werden White Hats nicht strafrechtlich verfolgen“, sagte er und bezog sich auf sogenannte ethische Hacker.
Mehrere Cybersicherheits- und Blockchain-Experten sagten Reuters, dass die Komplexität von Bridges bedeute, dass sie eine Achillesferse für Projekte und Anwendungen darstellen könnten, die sie verwenden.
„Ein Grund, warum Hacker in letzter Zeit diese Cross-Chain-Brücken ins Visier genommen haben, ist die immense technische Raffinesse, die mit der Erstellung dieser Art von Diensten verbunden ist“, sagte Ganesh Swami, CEO des Blockchain-Datenunternehmens Covalent in Vancouver, das einige Kryptos auf Nomad’s gespeichert hatte Brücke, als sie gehackt wurde.
Einige Brücken erstellen beispielsweise Versionen von Kryptomünzen, die sie mit verschiedenen Blockchains kompatibel machen und die ursprünglichen Münzen in Reserve halten. Andere verlassen sich auf intelligente Verträge, komplexe Vereinbarungen, die Geschäfte automatisch ausführen.
Der Code, der an all diesen beteiligt ist, kann Fehler oder andere Fehler enthalten, die möglicherweise die Tür für Hacker offen lassen.
Fehlerprämien
Wie kann man das Problem also am besten angehen?
Einige Experten sagen, dass Audits von Smart Contracts zum Schutz vor Cyberdiebstählen beitragen könnten, ebenso wie „Bug Bounty“-Programme, die Anreize für Open-Source-Überprüfungen von Smart Contract-Code bieten.
Andere fordern eine geringere Konzentration der Kontrolle über die Brücken durch einzelne Unternehmen, was ihrer Meinung nach die Widerstandsfähigkeit und Transparenz des Codes stärken könnte.
„Kettenübergreifende Brücken sind ein attraktives Ziel für Hacker, weil sie oft eine zentralisierte Infrastruktur nutzen, von der die meisten Vermögenswerte sperren“, sagte Victor Young, Gründer und Chefarchitekt der US-amerikanischen Blockchain-Firma Analog.
(Berichterstattung von Tom Wilson in London und Medha Singh in Bengaluru; Redaktion von Pravin Char)
-
-
-
-
