Nervos Force Bridge Access Control
Access-Control-Fehler zog 3,76 Mio. $ aus Nervos' Force Bridge auf Ethereum und BNB Chain ab; die Beute wurde über Tornado Cash und FixedFloat gewaschen.
- Datum
- Opfer
- Nervos Network
- Status
- Mittel entwendet
Am 2. Juni 2025 wurde die Force Bridge — Nervos Networks Cross-Chain-Protokoll, das CKB (Nervos) mit Ethereum und BNB Smart Chain verbindet — um rund 3,76 Millionen $ exploitet. Die Ursache war ein Access-Control-Problem in der Bridge-Contract-Logik. Gestohlene Gelder wurden schnell zu ETH geswappt und über Tornado Cash und FixedFloat zur Geldwäsche geroutet.
Was geschah
Force Bridge wickelte Cross-Chain-Asset-Transfers zwischen Nervos' CKB-Chain und EVM-kompatiblen Netzwerken (Ethereum und BNB Chain) ab. Die Bridge-Contracts auf jeder EVM-Seite hielten Custodial-Reserven gebridgter Assets; Cross-Chain-Withdrawals erforderten Autorisierung der Operator-Infrastruktur der Bridge.
Die Schwachstelle lag in der Access Control, die privilegierte Operationen auf den Bridge-Contracts steuert. Der genaue technische Mechanismus wurde nicht erschöpfend öffentlich detailliert, aber das On-Chain-Muster entsprach einem Angreifer, der Operator-Level-Signing-Autorität erlangt hatte — entweder durch kompromittierte Operator-Keys, einen Infrastruktur-Breach oder einen Konfigurationsfehler, der unautorisierten Aufrufern den Zugriff auf privilegierte Pfade erlaubte.
Aufschlüsselung des Drains:
- Rund 3,1 Millionen $ auf Ethereum, einschließlich:
- 257.800 USDT
- 539 ETH
- 898.300 USDC
- 60.400 DAI
- 0,79 WBTC
- Rund 600.000 $ auf BNB Chain (Mix aus Stablecoins und BNB).
Der Angreifer wandelte die gestohlenen Assets über DEX-Aggregatoren in ETH und routete die Erlöse durch Tornado Cash und FixedFloat, eine Börse, die für Geldwäsche-Operationen bekannt ist.
Folgen
- Nervos Network stoppte die Force-Bridge-Operationen und startete eine Untersuchung mit Strafverfolgungs-Unterstützung.
- Keine öffentliche Zuschreibung des Bedrohungsakteurs; das On-Chain-Muster passte zu staatsnahen Operationen, eine formale Zuschreibung folgte aber nicht.
- Keine öffentliche Wiederherstellung aus den Wallets des Angreifers.
Warum es wichtig ist
Der Force-Bridge-Vorfall setzt das wiederkehrende Muster fort, dass Bridge-Access-Control-Schwachstellen mittelgroße DeFi-Verluste über die Ära 2021-2026 hinweg produzieren:
- ChainSwap (Juli 2021) — Bridge-Mint-Autorisierungslücke auf BSC.
- Qubit Finance (Jan. 2022) — Bridge-Fake-Deposit-Akzeptanz.
- Nomad (Aug. 2022) — Initialisierung, die Null als gültigen Root behandelte.
- HECO Bridge (Nov. 2023) — Operator-Key-Kompromittierung.
- Force Bridge (Juni 2025) — Operator-Access-Control.
In jedem Fall ist das Operator-Trust-Modell von Cross-Chain-Bridges die strukturelle Angriffsfläche. Selbst wenn die Contracts korrekt geschrieben und die Operator-Keys geschützt sind, ist die Lücke zwischen „die Bridge funktioniert korrekt unter beabsichtigtem Operator-Verhalten" und „die Bridge funktioniert unter keinerlei Angreifer-Zugriff adversariell" das, was diese Vorfälle wiederholt ausnutzen.
Die defensiven Antworten — Multi-DVN-Konfigurationen, slashing-erzwungene Attestation Committees, kanonisch-ausführende Bridge-Designs, die nicht von Signern abhängen — werden zunehmend übernommen, aber die ältere Bridge-Generation läuft weiter mit Operator-Trust-Modellen, die sich als strukturell fragil erwiesen haben.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-force-bridge-hack-june-2025
- [02]theblock.cohttps://www.theblock.co/post/356535/hackers-drain-over-3-million-in-crypto-from-nervos-networks-force-cross-chain-bridge-say-security-analysts
- [03]cryptocsec.substack.comhttps://cryptocsec.substack.com/p/hack-alert-37-million-dollars-stolen