Nomad, một dự án cầu nối cross-chain, đã trở thành cái tên bị tấn công trong sáng 02/08, dẫn đến thiệt hại vô cùng nghiêm trọng vì bị nhiều người tận dụng lỗ hổng.
Nomad bị người dùng bòn rút tiền không thương tiếc
Vào khoảng 04:30 AM ngày 02/08, cộng đồng tiền mã hóa trên Twitter bắt đầu ghi nhận những giao dịch lạ liên quan đến Nomad, một dự án cầu nối giữa Ethereum và Moonbeam, parachain chuyên về smart contract Polkadot.
Cụ thể, nhà phát triển MetaMask @sniko_ đã chia sẻ về một loạt giao dịch trả phí đến 350.000 USD nhưng vẫn thất bại. Sau đó, người này phát hiện ra đây là một nỗ lực tấn công vào Nomad, rút hàng loạt các WBTC, WETH, USDC cùng nhiều token ERC-20 khác bằng muôn vàn các giao dịch nhỏ.
The sender of this tx is then withdrawing (calling process()) on Nomad bridge 👀
It is related? Are they trying to exploit Nomad? There’s a chain of contracts on this $350k failed tx. Might update later if I find anything worthyhttps://t.co/g6n8pu6eit
cc: @nomadxyz_
— harry.eth 🦊💙 (whg.eth) (@sniko_) August 1, 2022
Not great to be exploited by 🍉🍉🍉.eth pic.twitter.com/Wrotdi2XNp
— foobar (@0xfoobar) August 1, 2022
Theo thống kê của người dùng @1kbeetlejuice, trong 2 giờ đồng hồ sau đó, smart contract của Nomad đã bị rút cạn tiền, giảm từ mức 176,6 triệu USD về còn gần bằng 0.
Người dùng FatManTerra tuyên bố rằng vụ tấn công này được thực hiện bằng nhiều tài khoản hoặc thậm chí đã xảy ra tình trạng “hôi của”, khi có những người đã copy lại giao dịch của hacker đầu tiên và chỉ thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ Nomad. FatMan còn đùa vui rằng đây là vụ tấn công “phi tập trung” đầu tiên trong ngành crypto, đúng với bản chất của lĩnh vực tiền mã hóa.
Messages popping up in public Discord servers of random people grabbing $3K-$20K from the Nomad bridge – all one had to do was copy the first hacker’s transaction and change the address, then hit send through Etherscan. In true crypto fashion – the first decentralized robbery. https://t.co/jWV9AamBer
— FatMan (@FatManTerra) August 2, 2022
SlowMist thì truy vết dòng tiền về 3 địa chỉ ví được cho là lấy nhiều tiền nhất từ Nomad, với tổng giá trị đến 90 triệu USD.
Here’s the addresses and how much is in each one.
Address 1: 0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3 ~$47M
Address 2: 0xBF293D5138a2a1BA407B43672643434C43827179 ~39.7M
Address 3: 0xB5C55f76f90Cc528B2609109Ca14d8d84593590E ~$8M
— SlowMist (@SlowMist_Team) August 2, 2022
Chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Một người nào đó đã phát hiện ra điều đó và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên.
11/ This is why the hack was so chaotic – you didn’t need to know about Solidity or Merkle Trees or anything like that. All you had to do was find a transaction that worked, find/replace the other person’s address with yours, and then re-broadcast it
— samczsun (@samczsun) August 2, 2022
“Đây chính là lý do vì sao vụ hack lại trở nên hỗn loạn như thế – nó không đòi hỏi bạn phải biết về Solidity hay Merkle Tree. Tất cả những gì bạn phải làm là tìm một giao dịch đã hack thành công, tìm/thay địa chỉ của người khác bằng của bạn, rồi tương tác với smart contract của Nomad.”
Điều đáng nói là lỗ hổng trên xuất phát từ một lỗi khác đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6. Dự án đã khắc phục lỗi kia, nhưng trong quá trình sửa lại chuyển thành root 0x000…, dẫn đến hậu quả như những gì đã xảy ra.
The exploit was public in the audit @samczsun https://t.co/9UoZID1lHm pic.twitter.com/HBiVJu7gdT
— napgener 0x (@napgener) August 2, 2022
Nomad đã thông báo đóng cầu nối cross-chain của mình để điều tra nguyên nhân, đồng thời cảnh báo người dùng đề phòng những tài khoản mạo danh mà đang kêu gọi những kẻ “hôi của” tự giác trả lại tiền.
We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.
— Nomad (⤭⛓🏛) (@nomadxyz_) August 1, 2022
We’re aware of impersonators posing as Nomad and providing fraudulent addresses to collect funds. We aren’t yet providing instructions to return bridge funds. Disregard comms from all channels other than Nomad’s official channel: @nomadxyz_
— Nomad (⤭⛓🏛) (@nomadxyz_) August 2, 2022
Trong khi đó, Moonbeam cũng đã đưa mạng lưới về “trạng thái bảo trì”, song vẫn cho phép người dùng thực hiện giao dịch, tương tác với smart contract, staking và quản trị bình thường.
2/ During this time, functionality will be limited and you will be unable to execute regular user transactions and smart contract interactions. Democracy, staking, the ability to unpause and upgrade will remain in effect. We will provide a more detailed update shortly.
— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) August 1, 2022
Dấu hỏi tiếp tục đặt ra cho các dự án cầu nối cross-chain
Vụ tấn công Nomad diễn ra gần tròn 1 năm sau ngày Poly Network, một dự án cầu nối cross-chain khác, bị hack mất 611 triệu USD vào ngày 10/08/2021. Hacker sau đó đã quyết định trả lại tiền sau khi vụ hack bị phanh phui và nhận định không thể tẩu tán số tiền lớn như vậy.
Đến tháng 02/2022, đến lượt cầu nối Wormhole giữa Solana và Ethereum bị tấn công, làm mất trọn 325 triệu USD tài sản crypto. Wormhole sau đó đã gọi vốn khẩn cấp một số tiền tương tự để đảm bảo bồi thường cho người dùng và nối lại hoạt động.
Hơn một tháng sau, vào ngày 29/03/2022, cộng đồng tiền mã hóa rúng động trước thông tin cầu nối Ronin của trò chơi Axie Infinity bị tin tặc bòn rút tiền trong vòng 1 tuần mà không hề hay biết, dẫn đến thiệt hại 622 triệu USD. Đây là vụ tấn công gây thiệt hại nghiêm trọng nhất lịch sử ngành tiền mã hóa tính đến nay.
Vào cuối tháng 6, Ronin đã nối lại hoạt động bình thường, trong khi đơn vị phát triển Axie Infinity là Sky Mavis đã phải gọi vốn 150 triệu USD và bỏ tiền túi để bồi thường cho người dùng. Mặc dù vậy, những lùm xùm vẫn tiếp tục bám víu lấy dự án như thông tin dự án bị hack vì một lập trình viên của Sky Mavis đã chấp nhận một “đề nghị làm việc” đáng mờ, hay tin đồn CEO Nguyễn Thành Trung của Sky Mavis đã chuyển 3 triệu USD AXS lên sàn Binance trước khi công bố thông tin vụ hack.
Cũng trong khoảng thời gian này, cầu nối Horizen của dự án blockchain Harmony đã bị tấn công, mất sạch khoảng 100 triệu USD tiền mã hóa trên đây. Harmony sau đó đã đăng tải đề xuất hard fork giao thức để in thêm token ONE nhằm bồi thường cho người dùng thay vì xuất quỹ của dự án, khiến cộng đồng phản ứng dữ dội.
Ngay trước vụ hack Wormhole, nhà sáng lập Ethereum Vitalik Buterin cho rằng không nên tin tưởng các giải pháp cross-chain vì nhiều các khiếm khuyết trong cơ chế hoạt động.
Coin68 tổng hợp
Có thể bạn quan tâm:
- DeFi Discussion ep.41: Vì sao các giải pháp cross-chain thường xuyên bị tấn công?
- Coin68 Blog: Vì sao mảng cross-chain chưa “bùng nổ”?
