Nomad bị tấn công và “hôi của”, với thiệt hại hơn 176 triệu USD

Nomad bị người dùng “hôi của” không thương tiếc

Vào khoảng 04:30 sáng ngày 02/08, cộng đồng tiền điện tử trên Twitter bắt đầu ghi nhận các giao dịch lạ liên quan đến Nomad, một dự án cầu nối Ethereum và Moonbeam, parachain chuyên về hợp đồng thông minh Polkadot.

Nomad bị người dùng "hôi của" không thương tiếc

Cụ thể, MetaMask developer @sniko_ đã chia sẻ về một loạt giao dịch trả phí lên đến 350,000 USD nhưng thất bại. Sau đó, người này đã phát hiện ra đây là một vụ tấn công vào Nomad, rút ra hàng loạt các WETH, USDC, WBTC cùng các token ERC-20 khác bằng muôn vàn những giao dịch nhỏ.

Theo thống kê của tài khoản @1kbeetlejuice, sau đó 2 giờ đồng hồ, hợp đồng thông minh của Nomad đã bị rút cạn tiền, giảm từ 176,6 triệu đô la về còn gần bằng 0.

Người dùng Twitter FatManTerra đã tuyên bố rằng vụ tấn công này đã được thực hiện bằng các tài khoản hoặc thậm chí còn xảy ra tình trạng “hôi của”, khi những người đã sao chép lại giao dịch của các hacker đầu tiên và thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ nền tảng Nomad. FatMan đùa vui rằng đây là vụ tấn công “phi tập trung” đầu tiên trong ngành tiền điện tử, đúng với bản chất của lĩnh vực tiền điện tử.

Một tài khoản SlowMist thì truy vết dòng tiền về 3 địa chỉ ví được cho là rút nhiều tiền nhất từ Nomad, với tổng giá trị đến 90 triệu đô la.

Các chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của dự án Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho các đoạn tin nhắn root mặc định là 0x000… Một người trong cộng đồng đã phát hiện ra điều đó và tiến hành đánh cắp. Những người khác sau đó cũng đã phát hiện ra lỗ hổng và chỉ cần sao chép lại các giao dịch của hacker đầu tiên.

Việc đáng nói là lỗ hổng này đã được đơn vị kiểm toán hợp đồng thông minh Quantstamp phát hiện và cảnh báo cho dự án Nomad từ đầu tháng 6, song đã bị dự án này phớt lờ và dẫn đến hậu quả như hiện tại.

Nomad đã đưa ra thông báo đóng tất cả cầu nối cross-chain của mình để điều tra ra nguyên nhân, đồng thời cảnh báo người dùng phải đề phòng những tài khoản mạo danh và đang kêu gọi kẻ “hôi của” tự giác trả lại tiền đã đánh cắp.

Trong khi đó, một Moonbeam cũng đã đưa mạng về “trạng thái bảo trì”, song cho phép người dùng thực hiện các giao dịch, tương tác với hợp đồng thông minh, staking và quản trị bình thường.

Dấu hỏi đặt ra cho các dự án cầu nối cross-chain

Vụ tấn công Nomad đã diễn ra gần tròn 1 năm sau ngày Poly Network, một dự án cầu nối chuỗi chéo khác, bị hack mất 611 triệu đô la vào ngày 10/08/2021. Tin tặc sau đó đã quyết định trả lại số tiền sau khi vụ tấn công bị phanh phui và nhận định rằng không thể tẩu tán một số tiền lớn như vậy.

Đến tháng 02 năm 2022, đến lượt cầu nối Wormhole giữa Ethereum và Solana bị tấn công, làm mất 325 triệu đô la tài sản crypto. Wormhole sau đó đã tiến hành gọi vốn khẩn cấp một số tiền tương tự để bảo đảm bồi thường cho người dùng và kết nối lại các hoạt động.

Dấu hỏi đặt ra cho các dự án cầu nối cross-chain

Hơn 1 tháng sau, vào ngày 29/03/2022, cộng đồng tiền điện tử rúng động trước thông tin cầu nối Ronin của dự án Axie Infinity bị tin tặc đánh cắp tiền trong vòng 1 tuần mà không hay biết, dẫn đến thiệt hại hơn 622 triệu đô la. Đây được coi là vụ tấn công gây thiệt hại nghiêm trọng nhất lịch sử ngành tiền điện tử tính đến nay.

Vào cuối tháng 6, Ronin đã liên kết lại hoạt động bình thường, trong khi đơn vị phát triển Axie Infinity là Sky Mavis đã phải gọi vốn 150 triệu đô la và bỏ tiền túi để bồi thường cho những người dùng. Mặc dù vậy, các lùm xùm vẫn tiếp tục bám víu lấy dự án như thông tin dự án bị tấn công vì một lập trình viên của Sky Mavis đã chấp nhận “đề nghị làm việc” mờ ám, hay tin đồn giám đốc điều hành Nguyễn Thành Trung của Sky Mavis đã chuyển 3 triệu đô la AXS lên sàn Binance trước khi công bố thông tin vụ tấn công.

Cũng trong thời gian này, các cầu nối Horizen của dự án blockchain Harmony đã tấn công, mất sạch khoảng 100 triệu đô la tiền mã hóa trên đây. Harmony sau đó đã đăng lên đề xuất rẽ nhánh giao thức để in thêm ONE token nhằm bồi thường cho những người dùng thay vì xuất quỹ của dự án, khiến cho cộng đồng phản ứng dữ dội.

Ngay trước vụ tấn công Wormhole, Founder Ethereum Vitalik Buterin cho rằng không tin tưởng các giải pháp chuỗi chéo vì nhiều các khuyết điểm trong cơ chế hoạt động.

Comments (No)

Leave a Reply