Toen dieven vorige week naar schatting $190 miljoen stalen van het Amerikaanse cryptobedrijf Nomad, was dat de zevende hack van 2022 die gericht was op een steeds belangrijker radertje in de cryptomachine: Blockchain "bridges" - reeksen code die helpen cryptomunten tussen verschillende toepassingen te verplaatsen.

Tot nu toe hebben hackers dit jaar crypto ter waarde van zo'n $1,2 miljard gestolen van bruggen, zo blijkt uit gegevens van het in Londen gevestigde blockchain analysebedrijf Elliptic, al meer dan het dubbele van het totaal van vorig jaar.

"Dit is een oorlog waarbij de cyberbeveiligingsfirma of het project geen winnaar kan zijn," zei Ronghui Hu, hoogleraar computerwetenschappen aan de Columbia Universiteit in New York en mede-oprichter van cyberbeveiligingsfirma CertiK.

"Wij moeten zoveel projecten beschermen. Voor hen (hackers) geldt dat wanneer zij naar één project kijken en er zitten geen bugs in, zij gewoon naar het volgende project kunnen gaan, totdat zij één zwak punt gevonden hebben."

Momenteel draaien de meeste digitale tokens op hun eigen unieke blockchain, in wezen een openbaar digitaal grootboek dat cryptotransacties bijhoudt. Dat brengt het risico met zich mee dat projecten die deze munten gebruiken in een silo terechtkomen, waardoor hun vooruitzichten op grootschalig gebruik afnemen.

Blockchain-bruggen zijn bedoeld om deze muren af te breken. Voorstanders zeggen dat zij een fundamentele rol zullen spelen in "Web3" - de veelgehypte visie van een digitale toekomst waarin crypto's verweven zijn met het online leven en de handel.

Toch kunnen bruggen de zwakste schakel zijn.

De Nomad-hack was de op zeven na grootste cryptodiefstal ooit. Andere diefstallen van bruggen dit jaar zijn een roof van $615 miljoen bij Ronin, gebruikt in een populair online spel, en een diefstal van $320 miljoen bij Wormhole, gebruikt in zogenaamde gedecentraliseerde financiële toepassingen.

"Blockchain-bruggen zijn de meest vruchtbare grond voor nieuwe kwetsbaarheden," zei Steve Bassi, mede-oprichter en CEO van malware-detector PolySwarm.

ACHILLES HEEL

Nomad en andere bedrijven die blockchain bridge software maken, hebben steun aangetrokken.

Slechts vijf dagen voordat het gehackt werd, zei het in San Francisco gevestigde Nomad dat het $22,4 miljoen had opgehaald bij investeerders, waaronder de grote beurs Coinbase Global. Nomad CEO en mede-oprichter Pranay Mohan noemde zijn beveiligingsmodel de "gouden standaard."

Nomad heeft niet gereageerd op verzoeken om commentaar.

Het heeft gezegd dat het samenwerkt met wetshandhavingsinstanties en een bedrijf dat blockchain analyseert om de gestolen fondsen op te sporen. Eind vorige week kondigde het een premie van maximaal 10% aan voor de teruggave van fondsen die van de brug gehackt waren. Het zei zaterdag dat het tot nu toe meer dan $32 miljoen van de gehackte fondsen had teruggevonden.

"Het belangrijkste in crypto is gemeenschap, en ons nummer één doel is het herstellen van overbrugde gebruikersfondsen," zei Mohan. "Wij zullen elke partij die 90% of meer van de uitgebuite fondsen teruggeeft, behandelen als een white hats. Wij zullen geen white hats vervolgen," zei hij, verwijzend naar zogenaamde ethische hackers.

Verscheidene deskundigen op het gebied van cyberveiligheid en blockchain vertelden Reuters dat de complexiteit van bruggen betekende dat zij een achilleshiel konden vormen voor projecten en toepassingen die er gebruik van maakten.

"Een reden waarom hackers zich de laatste tijd op deze cross-chain bruggen hebben gericht, is vanwege de immense technische verfijning die komt kijken bij het maken van dit soort diensten," zei Ganesh Swami, CEO van blockchain-databedrijf Covalent in Vancouver, dat wat crypto had opgeslagen op de brug van Nomad toen die gehackt werd.

Sommige bridges maken bijvoorbeeld versies van cryptomunten die ze compatibel maken met verschillende blockchains, waarbij ze de originele munten in reserve houden. Anderen vertrouwen op smart contracts, ingewikkelde convenanten die automatisch deals uitvoeren.

De code die bij al deze zaken betrokken is, kan bugs of andere gebreken bevatten, waardoor de deur mogelijk op een kier staat voor hackers.

BUG BOUNTIES

Hoe kan het probleem dan het best worden aangepakt?

Sommige deskundigen zeggen dat audits van slimme contracten zouden kunnen helpen om zich te wapenen tegen cyberdiefstallen, evenals "bug bounty"-programma's die aanzetten tot open-sourced reviews van slimme contractcode.

Anderen pleiten voor minder concentratie van de controle over de bruggen door afzonderlijke bedrijven, iets wat volgens hen de veerkracht en de transparantie van de code zou kunnen versterken.

"Cross-chain bruggen zijn een aantrekkelijk doelwit voor hackers, omdat ze vaak gebruik maken van een gecentraliseerde infrastructuur, waarvan de meeste activa vergrendelen," zei Victor Young, oprichter en hoofdarchitect bij het Amerikaanse blockchainbedrijf Analog.