Cầu nối cross-chain Nomad bị tấn công, mất hơn 176 triệu USD

Sáng 02/08, Nomad - dự án cầu nối cross-chain đã trở thành nạn nhân tiếp theo của tin tặc và “hôi của”, với thiệt hại hơn 176 triệu USD.

Nomad bị “hút máu” không thương tiếc

Khoảng 04:30 AM sớm ngày 02/08, cộng đồng crypto bắt đầu quan sát và báo động về những giao dịch lạ trên Nomad. Đây là dự án cầu nối giữa Ethereum và Moonbeam  - một parachain chuyên về smart contract Polkadot. 

Nhà phát triển Metamask, có tên tài khoản Twitter là @sniko_ đã chia sẻ về một loạt giao dịch trả phí tới 350,000 USD nhưng vẫn thất bại. Người này sau đó đã phát hiện ra rằng có một nỗ lực tấn công vào Nomad nhằm trục lợi. Qua rất nhiều nhưng giao dịch nhỏ, hàng loạt token WBTC, WETH, USDC cùng nhiều token chuẩn ERC-20 đã bị rút.

Người dùng @1kbeetlejuice đã thống kê lại rằng chỉ 2h đồng hồ sau đó, smart contract của Nomad đã bị rút cạn tiền, bốc hơi 176.6 triệu USD.

FatManTerra tuyên bố rằng vụ tấn công được thực hiện bằng nhiều tài khoản, thậm chí đã xảy ra “tình trạng hôi của”. Một số người dùng đã copy lại giao dịch của hacker đầu tiên và chỉ thay mỗi địa chỉ rút, nhằm vơ vét nốt Nomad. FatManTerra còn nói vui rằng đây là vụ tấn công “phi tập trung” đầu tiên, đúng như bản chất của ngành tiền mã hóa.

Theo dữ liệu từ công ty kiểm toán (Audit) hàng đầu thị trường crypto - SlowMist, truy vết dòng tiền tìm thấy 3 địa chỉ ví bòn được nhiều nhất từ Nomad, với tổng giá trị 90 triệu USD.

Lỗ hổng của Nomad được chuyên gia bảo mật samczsun xác định đến từ việc dự án cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Kẽ hở này đã bị tin tặc lợi dụng và tiến hành rút tiền. Những người khác sau đó cũng biết và chỉ cần sao chép lại giao dịch của tên hacker đầu tiên.

“Đây chính là lý do vì sao vụ hack lại trở nên hỗn loạn như thế – nó không đòi hỏi bạn phải biết về Solidity hay Merkle Tree. Tất cả những gì bạn phải làm là tìm một giao dịch đã hack thành công, tìm/thay địa chỉ của người khác bằng của bạn, rồi tương tác với smart contract của Nomad.”

Đáng nói là đơn vị kiểm toán smart contract Quantstamp đã từng cảnh báo cho đội ngũ Nomad về lỗ hổng này từ đầu tháng 6, nhưng đã bị phớt lờ và dẫn đến hậu quả. 

Phía bên Nomad đã thông báo đóng lại cầu nối cross-chain của mình để điều tra nguyên nhân, và nhắc nhở người dùng đề phòng các tài khoản mạo danh “kêu gọi những kẻ hôi của tự giác trả lại tiền”.

Mặt khác, Moonbeam cũng đã đưa mạng lưới về “trạng thái bảo trì”, song vẫn cho phép người dùng thực hiện giao dịch, tương tác với smart contract, staking và quản trị bình thường.

Dự án cầu nối cross-chain có còn an toàn?

Sự cố Nomad diễn ra sau gần 1 năm ngày Poly Network - một dự án cầu nối cross-chain khác bị đánh cắp 611 triệu USD. Tuy nhiên, sau khi vụ hack bị phanh phui, hacker đã duyết định trả lại tiền do nhận định không thể tẩu tán số tiền lớn như thế.

Đầu tháng 2.2022, cầu nối Wormhole giữa Solana và Ethereum đã bị tấn công, thiệt hại 325 triệu USD. Wormhole sau đó đã gọi vốn khẩn cấp một số tiền tương tự để đảm bảo bồi thường cho người dùng và nối lại hoạt động.

Hơn một tháng sau, vào ngày 29/03/2022, cộng đồng lại được phen rúng động khi cầu nối Ronin, cross-chain của tựa game đình đám Axie Infinity bị bòn rút tiền mà gần một tuần sau mới phát giác. Với mất mát 622 triệu USD, đây là vụ hack nghiêm trọng nhất trong lịch sử tiền mã hóa đến nay.

Cuối tháng 6 vừa qua, Ronin đã nối lại hoạt động, trong khi công ty đứng sau Axie Infinity là Sky Mavis đã gọi vốn 150 triệu USD và bỏ tiền túi bồi thường cho người dùng. Gần đây, nhà lãnh đạo của công ty - CEO Trung Nguyễn còn bị tìm thấy bằng chứng chuyển 3 triệu USD token AXS lên sàn giao dịch Binance trước khi công bố về vụ hack tới cộng đồng.

Trong cùng khoảng thời gian này, cầu nối Horizon của dự án blockchain Harmony đã bị tấn công, mất 100 triệu USD tiền mã hóa. Sau gần 1 tháng “im hơi lặng tiếng”, Harmony cũng đề xuất phương án xử lý đúc token để bồi thường cho cộng đồng nhưng đã nhận lại phản ứng gay gắt.