Cầu cross-chain Nomad bị “bay hơi” 190 triệu USD trong khai thác bảo mật

Nomad, một dự án cầu nối giữa Ethereum và Moonbeam, parachain chuyên về smart contract Polkadot, cho phép người dùng chuyển tài sản kỹ thuật số giữa các blockchain khác nhau, bị tấn công vào tối ngày 01/08 theo giờ UTC.

Theo nền tảng theo dõi tài chính phi tập trung (DeFi) DeFi Llama, ần như toàn bộ 190,7 triệu USD tiền điện tử của Nomad đã bị xóa khỏi cầu, chỉ còn lại 651,54 USD trong ví.

“Hôi của” không thương tiếc

Vào 21h32 ngày 01/08 (theo giờ UTC), cộng đồng tiền mã hóa bắt đầu ghi nhận những giao dịch lạ liên quan đến Nomad. Nhiều người cho rằng, các giao dịch này có thể là nguồn gốc của vụ tấn công.

Nomad bridge is getting drained, your funds might be at risk and might be able to still withdraw the remaining funds ⚠️ https://t.co/RgYmjSV9eB

— stani.lens (🌿,👻) (@StaniKulechov) August 1, 2022

Cụ thể, một tài khoản vô danh đã rút 100 Wrapped Bitcoin (WBTC) trị giá khoảng 2,3 triệu USD khỏi cầu. Ngoài ra, nhà phát triển MetaMask @sniko_ cũng chia sẻ về một loạt giao dịch trả phí đến 350.000 USD nhưng vẫn thất bại.

Sau đó, người này phát hiện ra đây là một vụ tấn công, nhằm rút hàng loạt các WBTC, WETH, GeroWallet (GERO), Mã truy vấn cộng hóa trị (CQT), Mã quản trị Hummingbird (HBOT), Frax (FRAX), USDC cùng nhiều token ERC-20 khác bằng nhiều giao dịch nhỏ.

Ngay sau khi phát hiện vụ việc, cộng đồng đã gióng lên hồi chuông cảnh báo về vụ việc tấn công, bòn rút tiền trong khai thác bảo mật. Trước tình hình đó, nhóm Nomad cũng lên tiếng xác nhận rằng họ đã biết về "sự cố liên quan đến cầu cross-chain Nomad" và "hiện đang điều tra sự cố". Nhóm nghiên cứu đã không trả lời ngay lập tức các bình luận của cộng đồng.

Tuy nhiên, chỉ sau 2 giờ diễn ra vụ hack, smart contract của Nomad đã bị rút cạn tiền, giảm từ mức 176,6 triệu USD về còn gần bằng 0.

Những kẻ tấn công đã loại bỏ các mã token theo cách bất thường vì mỗi mã bị loại bỏ có mệnh giá gần như tương đương. Ví dụ: các giao dịch với con số chính xác 202.440.725413 USDC được thực hiện hơn 200 lần.

Có người trong cộng đồng còn khẳng định, vụ tấn công này được thực hiện bằng nhiều tài khoản hoặc thậm chí đã xảy ra tình trạng “hôi của”, khi có những người đã copy lại giao dịch của hacker đầu tiên và chỉ thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ Nomad.

Họ còn đùa rằng đây là vụ tấn công “phi tập trung” đầu tiên trong ngành crypto, đúng với bản chất của lĩnh vực tiền mã hóa.

We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.

— Nomad (⤭⛓🏛) (@nomadxyz_) August 1, 2022

Quả thật, chuyên gia bảo mật samczsun cũng đồng tình với quan điểm trên và giải thích thêm rằng, lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000…

Một người nào đó đã phát hiện ra và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên. Điều đáng nói là lỗ hổng này đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6, song đã bị phớt lờ và dẫn đến hậu quả như hiện tại.

Nomad đã thông báo đóng cầu nối cross-chain của mình để điều tra nguyên nhân, đồng thời kêu gọi những người dùng đã “hôi của” từ dự án hãy tự giác làm điều đúng đắn và trả lại tiền.

Tương lai nào cho các dự án cầu nối cross-chain?

Không giống như các vụ tấn công phổ biến khác, chỉ sau vài giờ khi vụ việc này xảy ra, đã có hàng trăm địa chỉ nhận token trực tiếp từ cầu.

Trong khi đó, nền tảng hợp đồng thông minh Moonbeam từ mạng Polkadot (có mã native token là GLMR) được nhắm mục tiêu trong khai thác Nomad, đã chuyển sang chế độ bảo trì lúc 23h18 theo giờ UTC “để điều tra sự cố bảo mật”.

1/ Important Notice: The Moonbeam Network has gone into Maintenance Mode in order to investigate a security incident with a smart contract deployed on the network.

— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) August 1, 2022

Do đó, chức năng của Moonbeam như giao dịch người dùng thông thường và tương tác hợp đồng thông minh sẽ bị vô hiệu hóa.

Cuộc tấn công xảy ra không đúng lúc khi Nomad và các nhà đầu tư hạt giống đang chuẩn bị đợt gây quỹ.  

Vào ngày 29/07, dự án đã tiết lộ trong một tweet rằng Coinbase Ventures, OpenSea và 5 công ty lớn khác trong ngành công nghiệp tiền điện tử đã tham gia vào đợt gây quỹ hạt giống vào tháng 4, mang đến cho Nomad mức định giá 225 triệu USD.

VIC Crypto tổng hợp

Tin tức liên quan:

Tổng quan từ A-Z về cách OpenSea Ethereum và Polygon hoạt động trong 30 ngày qua

Sự sụp đổ của Terra và bối cảnh thị trường hỗn loạn có ảnh hưởng như thế nào đến GameFi và Metaverse?

Những khả năng đột phá quan trọng: Các nhà giao dịch của SHIB nên biết