Hai dự án tiền mã hóa đã bị tấn công trong tuần này là Nomad và Slope đều đồng loạt cam kết sẽ không truy tố trách nhiệm hình sự hacker nếu trả lại tiền.
Như đã được Coin68 đưa tin, lĩnh vực tiền mã hóa trong tuần vừa rồi đã ghi nhận hai sự cố bảo mật nghiêm trọng, dẫn đến thiệt hại vô cùng lớn.
Đầu tiên, vào ngày 02/08, cầu nối cross-chain Nomad đã bị hacker tấn công vì một lỗ hổng đã bị phát hiện từ trước song không được khắc phục triệt để. Nhiều người đã phát hiện cách thức mà kẻ tấn công đã sử dụng và sao chép nó, dẫn đến tình trạng “hôi của” vô tội vạ. Theo một số ước tính, toàn bộ số tiền khoảng 175-190 triệu USD đã bị rút sạch từ Nomad trong ít giờ đồng hồ.
Chỉ một ngày sau, vào ngày 03/08, mạng lưới Solana cuống cuồng trước thông tin hàng loạt ví tiền bị rút sạch mà không rõ nguyên nhân, gây hoang mang cực độ. Sau nhiều giờ loay hoay xác định nguồn gốc, lỗ hổng bị phát hiện nằm tại ứng dụng ví crypto Slope, vốn đã vô tình truyền thông tin private key và seed phrase của người dùng ra các server bên thứ 3. Tổng cộng đã có khoảng 8.000 ví tiền mã hóa trên Solana từng tương tác với Slope trong quá khứ bị ảnh hưởng, thiệt hại nằm trong khoảng 4-6 triệu USD.
Nomad sau đó đã đăng tải một địa chỉ ví và yêu cầu những ai đã “hôi của” từ cầu nối này hãy tự giác trả lại tiền. Đến tối ngày 03/08, dự án đã nhận về 9,1 triệu USD từ các hacker mũ trắng.
Tuy nhiên, vì tốc độ hoàn tiền chậm, Nomad đã quyết định nhượng bộ và cho phép những ai trả tiền được phép giữ lại 10% làm phần thưởng phát hiện lỗi (bug bounty) và cam kết sẽ không truy tố trách nhiệm hình sự.
Update: Nomad Bridge Hack Bounty
(see below for details)
Please send the funds to the official Nomad recovery wallet address on Ethereum: 0x94A84433101A10aEda762968f6995c574D1bF154 https://t.co/8gO1xVl5IC pic.twitter.com/8D7SvbDQlO
— Nomad (⤭⛓🏛) (@nomadxyz_) August 4, 2022
Kể từ đó, số tiền trả lại cho dự án đã tăng đều và cán mốc 32 triệu USD vào 12:00 AM ngày 06/08, chủ yếu gồm các token USDT, USDC, WBTC, DAI và FRAX. Đáng chú ý, một địa chỉ đã trả lại đến 9,4 triệu USD mà không lấy bug bounty. Đây là khoản hoàn tiền riêng lẻ lớn nhất từ khi xảy ra vụ tấn công.
Thank you to 0x56178a0d5F301bAf6CF3e1Cd53d9863437345Bf9 for returning the largest single recovery of $9.4m without taking a bounty to our recovery address!
We’ve recovered a total of $31.8m so far.https://t.co/McFXqyR21l
— Nomad (⤭⛓🏛) (@nomadxyz_) August 5, 2022
Tương tự, Slope vào sáng 06/08 cũng đăng thông báo thưởng 10% số tiền cho hacker nếu hắn đồng ý hoàn tiền cho dự án. Tuy nhiên, Slope chỉ có hacker 48 giờ để cân nhắc lựa chọn, sau hạn chót này thì dự án sẽ theo đuổi hành động pháp lý để vạch mặt kẻ tấn công.
Hackers – please see below for our bounty offer in return for the safe return of our users’ assets.
Wallet address: DyQ96GwjkHkGSzYEB4NaPk2NxsXyRTMNHKJQd3fziABf pic.twitter.com/pePeWfaB7m
— Slope (@slope_finance) August 5, 2022
Đến 12:00 PM ngày 06/08/2022, địa chỉ ví nhận tiền của Slope vẫn trống rỗng, đồng nghĩa với việc hacker chưa trả lại tiền.
Song, một câu hỏi khác đặt ra là nếu hacker trả tiền, Slope sẽ bồi thường cho người dùng bằng cách nào khi các địa chỉ cũ không có thể sử dụng lại.
Coin68 tổng hợp
Có thể bạn quan tâm:
- Cầu nối cross-chain Nomad và ví Slope vừa bị tấn công đều được Circle đầu tư
- Những cái tên “vạ lây” sau vụ Nomad bị tấn công
