Buzz
Nomad, một dự án cầu nối cross-chain, đã trở thành mục tiêu của cuộc tấn công vào sáng ngày 02/08, dẫn đến thiệt hại nghiêm trọng khi bị khai thác lỗ hổng bởi nhiều cá nhân.
Người dùng không ngần ngại rút tiền khỏi Nomad
Khoảng 04:30 AM ngày 02/08, cộng đồng tiền mã hóa trên Twitter đã bắt đầu ghi nhận các giao dịch bất thường liên quan đến Nomad, một dự án cầu nối giữa Ethereum và parachain Moonbeam, chuyên về hợp đồng thông minh Polkadot.
Cụ thể, nhà phát triển MetaMask @sniko_ đã chia sẻ về loạt giao dịch trả phí lên đến 350.000 USD nhưng không thành công. Sau đó, người này phát hiện ra đây là một nỗ lực tấn công vào Nomad, rút hàng loạt các WBTC, WETH, USDC cùng nhiều token ERC-20 khác thông qua nhiều giao dịch nhỏ.
Người gửi của giao dịch này sau đó đã rút tiền (gọi process()) trên cầu nối Nomad?
Liên quan? Họ có đang cố gắng khai thác Nomad không? Có một chuỗi các hợp đồng trong giao dịch thất bại trị giá 350 nghìn USD này. Có thể sẽ cập nhật sau nếu tìm thấy thông tin đáng chú ý nào.
cc: @nomadxyz_
— harry.eth ?? (whg.eth) (@sniko_) 1 tháng 8, 2022
Theo thống kê của người dùng @1kbeetlejuice, trong vòng 2 giờ sau đó, smart contract của Nomad đã bị rút sạch tiền, giảm từ mức 176,6 triệu USD xuống gần như 0.
Người dùng FatManTerra tuyên bố rằng cuộc tấn công này có thể đã được thực hiện bởi nhiều tài khoản hoặc thậm chí đã tạo ra tình trạng “hôi của”, khi một số người đã sao chép lại giao dịch của hacker đầu tiên và chỉ thay đổi địa chỉ rút tiền để rút tiền từ Nomad. FatMan cũng đùa rằng đây có thể là vụ tấn công “phi tập trung” đầu tiên trong ngành tiền mã hóa, phản ánh đúng bản chất của lĩnh vực này.
SlowMist đã theo dõi dòng tiền đến 3 địa chỉ ví được cho là rút nhiều tiền nhất từ Nomad, với tổng giá trị lên đến 90 triệu USD.
Chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của Nomad bắt nguồn từ việc dự án cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Một cá nhân nào đó đã nhận ra điều này và tiến hành rút tiền. Sau đó, những người khác cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên.
“Đây chính là lý do vụ hack trở nên hỗn loạn như vậy – không cần phải biết về Solidity hay Merkle Tree. Bạn chỉ cần tìm một giao dịch đã bị hack thành công, thay đổi địa chỉ của người khác bằng của bạn, và tương tác với smart contract của Nomad.”
Điều đáng chú ý là lỗ hổng này bắt nguồn từ một lỗi khác đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6. Dự án đã khắc phục lỗi đó, nhưng trong quá trình sửa lại đã chuyển thành root 0x000…, gây ra hậu quả như những gì đã xảy ra.
Nomad đã thông báo đóng cầu nối cross-chain để tiến hành điều tra nguyên nhân, đồng thời cảnh báo người dùng phải cẩn trọng với các tài khoản giả mạo đang kêu gọi những kẻ “hôi của” tự nguyện trả lại tiền.
Trong khi đó, Moonbeam cũng đã chuyển mạng lưới vào trạng thái “bảo trì”, nhưng vẫn cho phép người dùng thực hiện giao dịch, tương tác với smart contract, stake và quản trị như bình thường.
Câu hỏi tiếp tục đặt ra đối với các dự án cầu nối cross-chain
Vụ tấn công vào Nomad xảy ra gần một năm sau sự cố Poly Network, một dự án cầu nối cross-chain khác, bị hack mất 611 triệu USD vào ngày 10/08/2021. Sau khi sự cố bị phanh phui, kẻ tấn công đã quyết định hoàn lại tiền và cho rằng không thể thực hiện việc trộn tiền lớn như vậy.
Vào tháng 02/2022, dịch vụ cầu nối Wormhole giữa Solana và Ethereum bị tấn công, làm mất toàn bộ 325 triệu USD tài sản crypto. Sau đó, Wormhole đã huy động một số tiền khẩn cấp tương tự để bồi thường người dùng và khôi phục hoạt động.
Hơn một tháng sau đó, vào ngày 29/03/2022, cộng đồng tiền mã hóa bàng hoàng trước thông tin cầu nối Ronin của trò chơi Axie Infinity bị tin tặc rút tiền trong vòng 1 tuần mà không báo trước, dẫn đến thiệt hại 622 triệu USD. Đây là vụ tấn công gây thiệt hại nghiêm trọng nhất trong lịch sử ngành tiền mã hóa cho đến thời điểm này.
Vào cuối tháng 6, Ronin đã khôi phục hoạt động bình thường, trong khi nhà phát triển Axie Infinity là Sky Mavis đã phải huy động 150 triệu USD và chi tiền từ túi cá nhân để bồi thường cho người dùng. Tuy nhiên, những tranh cãi vẫn tiếp tục ám ảnh dự án, từ thông tin về việc một lập trình viên của Sky Mavis đã chấp nhận một “đề nghị làm việc” đáng ngờ, đến tin đồn về việc CEO Nguyễn Thành Trung của Sky Mavis đã chuyển 3 triệu USD AXS lên sàn Binance trước khi thông tin về vụ hack được công bố.
Trong cùng khoảng thời gian đó, cầu nối Horizen của dự án blockchain Harmony đã bị tấn công, mất toàn bộ khoảng 100 triệu USD tiền mã hóa trên đó. Harmony sau đó đã đề xuất hard fork giao thức để phát hành thêm token ONE để bồi thường cho người dùng thay vì rút tiền từ quỹ của dự án, điều này khiến cộng đồng phản đối mãnh liệt.
Ngay trước khi vụ hack Wormhole xảy ra, nhà sáng lập Ethereum Vitalik Buterin cảnh báo rằng không nên tin tưởng vào các giải pháp cross-chain do nhiều khiếm khuyết trong cơ chế hoạt động của chúng.
Mytour
