banner
banner
Background VIC News
Thứ ba, 02/08/2022, 09:30 (GMT + 7)
Thứ ba, 02/08/2022, 09:30 (GMT + 7)

Cầu cross-chain Nomad bị “bay hơi” 190 triệu USD trong khai thác bảo mật

Dự án cầu nối cross-chain Nomad đã trở thành mục tiêu tấn công của tin tặc, với thiệt hại vô cùng nghiêm trọng.
Mục lục bài viết
  1. “Hôi của” không thương tiếc
  2. Tương lai nào cho các dự án cầu nối cross-chain?

Nomad, một dự án cầu nối giữa Ethereum và Moonbeam, parachain chuyên về smart contract Polkadot, cho phép người dùng chuyển tài sản kỹ thuật số giữa các blockchain khác nhau, bị tấn công vào tối ngày 01/08 theo giờ UTC.

Theo nền tảng theo dõi tài chính phi tập trung (DeFi) DeFi Llama, ần như toàn bộ 190,7 triệu USD tiền điện tử của Nomad đã bị xóa khỏi cầu, chỉ còn lại 651,54 USD trong ví.

“Hôi của” không thương tiếc

Vào 21h32 ngày 01/08 (theo giờ UTC), cộng đồng tiền mã hóa bắt đầu ghi nhận những giao dịch lạ liên quan đến Nomad. Nhiều người cho rằng, các giao dịch này có thể là nguồn gốc của vụ tấn công.

Cụ thể, một tài khoản vô danh đã rút 100 Wrapped Bitcoin (WBTC) trị giá khoảng 2,3 triệu USD khỏi cầu. Ngoài ra, nhà phát triển MetaMask @sniko_ cũng chia sẻ về một loạt giao dịch trả phí đến 350.000 USD nhưng vẫn thất bại.

Sau đó, người này phát hiện ra đây là một vụ tấn công, nhằm rút hàng loạt các WBTC, WETH, GeroWallet (GERO), Mã truy vấn cộng hóa trị (CQT), Mã quản trị Hummingbird (HBOT), Frax (FRAX), USDC cùng nhiều token ERC-20 khác bằng nhiều giao dịch nhỏ.

Ngay sau khi phát hiện vụ việc, cộng đồng đã gióng lên hồi chuông cảnh báo về vụ việc tấn công, bòn rút tiền trong khai thác bảo mật. Trước tình hình đó, nhóm Nomad cũng lên tiếng xác nhận rằng họ đã biết về "sự cố liên quan đến cầu cross-chain Nomad" và "hiện đang điều tra sự cố". Nhóm nghiên cứu đã không trả lời ngay lập tức các bình luận của cộng đồng.

Tuy nhiên, chỉ sau 2 giờ diễn ra vụ hack, smart contract của Nomad đã bị rút cạn tiền, giảm từ mức 176,6 triệu USD về còn gần bằng 0.

Những kẻ tấn công đã loại bỏ các mã token theo cách bất thường vì mỗi mã bị loại bỏ có mệnh giá gần như tương đương. Ví dụ: các giao dịch với con số chính xác 202.440.725413 USDC được thực hiện hơn 200 lần.

Có người trong cộng đồng còn khẳng định, vụ tấn công này được thực hiện bằng nhiều tài khoản hoặc thậm chí đã xảy ra tình trạng “hôi của”, khi có những người đã copy lại giao dịch của hacker đầu tiên và chỉ thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ Nomad.

Họ còn đùa rằng đây là vụ tấn công “phi tập trung” đầu tiên trong ngành crypto, đúng với bản chất của lĩnh vực tiền mã hóa.

Quả thật, chuyên gia bảo mật samczsun cũng đồng tình với quan điểm trên và giải thích thêm rằng, lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000…

Một người nào đó đã phát hiện ra và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên. Điều đáng nói là lỗ hổng này đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6, song đã bị phớt lờ và dẫn đến hậu quả như hiện tại.

Nomad đã thông báo đóng cầu nối cross-chain của mình để điều tra nguyên nhân, đồng thời kêu gọi những người dùng đã “hôi của” từ dự án hãy tự giác làm điều đúng đắn và trả lại tiền.

Tương lai nào cho các dự án cầu nối cross-chain?

Không giống như các vụ tấn công phổ biến khác, chỉ sau vài giờ khi vụ việc này xảy ra, đã có hàng trăm địa chỉ nhận token trực tiếp từ cầu.

Trong khi đó, nền tảng hợp đồng thông minh Moonbeam từ mạng Polkadot (có mã native token là GLMR) được nhắm mục tiêu trong khai thác Nomad, đã chuyển sang chế độ bảo trì lúc 23h18 theo giờ UTC “để điều tra sự cố bảo mật”.

Do đó, chức năng của Moonbeam như giao dịch người dùng thông thường và tương tác hợp đồng thông minh sẽ bị vô hiệu hóa.

Cuộc tấn công xảy ra không đúng lúc khi Nomad và các nhà đầu tư hạt giống đang chuẩn bị đợt gây quỹ.  

Vào ngày 29/07, dự án đã tiết lộ trong một tweet rằng Coinbase Ventures, OpenSea và 5 công ty lớn khác trong ngành công nghiệp tiền điện tử đã tham gia vào đợt gây quỹ hạt giống vào tháng 4, mang đến cho Nomad mức định giá 225 triệu USD.

VIC Crypto tổng hợp

Tin tức liên quan:

enlightenedTổng quan từ A-Z về cách OpenSea Ethereum và Polygon hoạt động trong 30 ngày qua

enlightenedSự sụp đổ của Terra và bối cảnh thị trường hỗn loạn có ảnh hưởng như thế nào đến GameFi và Metaverse?

enlightenedNhững khả năng đột phá quan trọng: Các nhà giao dịch của SHIB nên biết



Mục Lục Bài Viết
  1. “Hôi của” không thương tiếc
  2. Tương lai nào cho các dự án cầu nối cross-chain?

Grayscale nộp bản đăng ký sửa đổi S-3 cho quỹ Ethereum ETF

Grayscale đã nộp bản đăng ký S-3 sửa đổi vào thứ Năm, ngay sau khi BlackRock nộp hồ sơ sửa đổi S-1, dự....
5 tháng trước Tin tức mới nhất

Token TRUMP phục hồi sau cú sụt giảm mạnh do phán quyết có tội của Donald Trump

Theo Arkham Intelligence, ví của Donald Trump hiện ghi nhận 8,5 triệu USD giá trị của token TRUMP trên tổng tài sản 12,6....
5 tháng trước Tin tức mới nhất

Khả năng Ethereum ETF sẽ ra mắt vào tháng Sáu khi mới đây BlackRock đã đệ trình Form S-1

BlackRock đã cập nhật Form S-1 của mình về Ethereum ETF Spot, một tín hiệu tốt cho thấy các nhà phát hành và....
5 tháng trước Tin tức mới nhất

Chiến dịch tranh cử của Biden bất ngờ có giọng điệu "quay xe" với ngành công nghiệp tiền điện tử

Nguồn tin cho biết họ nhận thấy sự “chuyển biến” đáng kể trong giọng điệu từ chính quyền Biden và chiến dịch tiền....
5 tháng trước Tin tức mới nhất

BlackRock vượt qua Grayscale để trở thành quỹ Bitcoin ETF lớn nhất thế giới

Sau bao ngày tháng chờ đợi, cuối cùng sự thay đổi cũng đã xảy ra. BlackRock chính thức vượt qua Grayscale trở thành....
5 tháng trước Tin tức mới nhất