Een tijdens onderhoud veroorzaakte kwetsbaarheid in crypto bridge Nomad heeft geresulteerd in de diefstal van 190 miljoen dollar aan cryptovaluta. Dat laat Coindesk weten. Nomad is een protocol dat het mogelijk voor gebruikers maakt om tokens tussen verschillende blockchains uit te wisselen.

Wanneer een gebruiker cryptovaluta van de ene naar de andere blockchain wil versturen stopt de bridge die in een smart contact op de ene blockchain en geeft de tokens in een "wrapped" vorm uit op de andere blockchain. Wanneer het smart contract waar de tokens zich in eerste instantie bevonden een kwetsbaarheid bevat hebben de wrapped tokens geen dekking meer.

Het lijkt erop dat een configuratiefout in het smart contract dat Nomad gebruikte voor het verwerken van berichten ervoor zorgde dat gebruikers transacties konden vervalsen en geld van de andere bridge konden opnemen dat niet van hen was. Tijdens een routine upgrade had het Nomad-team de waarde van de trusted root op 0x00 gezet waardoor elk bericht automatisch werd goedgekeurd, verklaar onderzoeker Sam Sun.

Het enige dat nodig was om hier misbruik van te maken was het vinden van een transactie die werkte. Vervolgens moest het adres van deze andere persoon worden vervangen door het eigen adres en daarna opnieuw uitgezonden. Vanwege de eenvoud van de exploit werd hier vervolgens op grote schaal door onder andere bots misbruik van gemaakt. Zo kon de 190 miljoen dollar die de bridge bevatte worden gestolen. Nomad heeft een onderzoek naar de diefstal ingesteld.