Nomad, một dự án cầu nối cross-chain, đã trở thành cái tên bị tấn công trong sáng 02/08, dẫn đến thiệt hại vô cùng nghiêm trọng vì bị nhiều người tận dụng lỗ hổng.

Cầu nối cross-chain Nomad bị và “hôi của”, thiệt hại hơn 176 triệu USD

Nomad bị người dùng bòn rút tiền không thương tiếc

Vào khoảng 04:30 AM ngày 02/08, cộng đồng trên Twitter bắt đầu ghi nhận những giao dịch lạ liên quan đến Nomad, một dự án cầu nối giữa Moonbeam, chuyên về smart contract .

Cụ thể, nhà phát triển @sniko_ đã chia sẻ về một loạt giao dịch trả phí đến 350.000 USD nhưng vẫn thất bại. Sau đó, người này phát hiện ra đây là một nỗ lực tấn công vào Nomad, rút hàng loạt các WBTC, WETH, cùng nhiều token -20 khác bằng muôn vàn các giao dịch nhỏ.

Theo thống kê của người dùng @1kbeetlejuice, trong 2 giờ đồng hồ sau đó, của Nomad đã bị rút cạn tiền, giảm từ mức 176,6 triệu USD về còn gần bằng 0.

Thống kê số dư -20 của Nomad. Nguồn: @1kbeetlejuice trên Dune Analytics

Người dùng FatManTerra tuyên bố rằng vụ tấn công này được thực hiện bằng nhiều tài khoản hoặc thậm chí đã xảy ra tình trạng “hôi của”, khi có những người đã copy lại giao dịch của hacker đầu tiên và chỉ thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ Nomad. FatMan còn đùa vui rằng đây là vụ tấn công “phi tập trung” đầu tiên trong ngành , đúng với bản chất của lĩnh vực .

SlowMist thì truy vết dòng tiền về 3 địa chỉ ví được cho là lấy nhiều tiền nhất từ Nomad, với tổng giá trị đến 90 triệu USD.

Chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Một người nào đó đã phát hiện ra điều đó và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên.

“Đây chính là lý do vì sao vụ lại trở nên hỗn loạn như thế – nó không đòi hỏi bạn phải biết về hay Merkle Tree. Tất cả những gì bạn phải làm là tìm một giao dịch đã hack thành công, tìm/thay địa chỉ của người khác bằng của bạn, rồi tương tác với smart contract của Nomad.”

Điều đáng nói là lỗ hổng này đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6, song đã bị phớt lờ và dẫn đến hậu quả như hiện tại.

Nomad đã thông báo đóng cầu nối cross-chain của mình để điều tra nguyên nhân, đồng thời cảnh báo người dùng đề phòng những tài khoản mạo danh mà đang kêu gọi những kẻ “hôi của” tự giác trả lại tiền.

Trong khi đó, cũng đã đưa mạng lưới về “trạng thái bảo trì”, song vẫn cho phép người dùng thực hiện giao dịch, tương tác với smart contract, staking và quản trị bình thường.

Dấu hỏi tiếp tục đặt ra cho các dự án cầu nối cross-chain

Vụ tấn công Nomad diễn ra gần tròn 1 năm sau ngày Poly Network, một dự án cầu nối cross-chain khác, bị hack mất 611 triệu USD vào ngày 10/08/2021. Hacker sau đó đã quyết định trả lại tiền sau khi vụ hack bị phanh phui và nhận định không thể tẩu tán số tiền lớn như vậy.

Đọc thêm  Thị trường đỏ máu khi Bitcoin đóng nến tuần $19.445

Đến tháng 02/2022, đến lượt cầu nối Wormhole giữa bị tấn công, làm mất trọn 325 triệu USD tài sản crypto. Wormhole sau đó đã gọi vốn khẩn cấp một số tiền tương tự để đảm bảo bồi thường cho người dùng và nối lại hoạt động.

Hơn một tháng sau, vào ngày 29/03/2022, cộng đồng tiền mã hóa rúng động trước thông tin cầu nối Ronin của trò chơi bị tin tặc bòn rút tiền trong vòng 1 tuần mà không hề hay biết, dẫn đến thiệt hại 622 triệu USD. Đây là vụ tấn công gây thiệt hại nghiêm trọng nhất lịch sử ngành tiền mã hóa tính đến nay.

Vào cuối tháng 6, Ronin đã nối lại hoạt động bình thường, trong khi đơn vị phát triển đã phải gọi vốn 150 triệu USD và bỏ tiền túi để bồi thường cho người dùng. Mặc dù vậy, những lùm xùm vẫn tiếp tục bám víu lấy dự án như thông tin dự án bị hack vì một lập trình viên của đã chấp nhận một “đề nghị làm việc” đáng mờ, hay tin đồn CEO Nguyễn Thành Trung của Sky Mavis đã chuyển 3 triệu USD lên sàn trước khi công bố thông tin vụ hack.

Cũng trong khoảng thời gian này, cầu nối Horizen của dự án blockchain Harmony đã bị tấn công, mất sạch khoảng 100 triệu USD tiền mã hóa trên đây. sau đó đã đăng tải đề xuất hard fork giao thức để in thêm token nhằm bồi thường cho người dùng thay vì xuất quỹ của dự án, khiến cộng đồng phản ứng dữ dội.

Đọc thêm  Token SAND và MANA đang chuẩn thị thiết lập ATH mới

Ngay trước vụ hack Wormhole, nhà sáng lập Ethereum Vitalik Buterin cho rằng không nên tin tưởng các giải pháp cross-chain vì nhiều các khiếm khuyết trong cơ chế hoạt động.

Tham gia channel để cập nhật tín hiệu đầu tư mới nhất!

Bài viết chia sẻ