Nomad cross-chain bridge là nạn nhân tiếp theo của các vụ hack trong lĩnh vực tiền điện tử. Nhưng khó thể tin được, 190 triệu từ Nomad bridge dường như bị ‘bòn rút’ tập thể vì lỗ hổng hệ thống.
Nomad bridge hack, thiệt hại khoảng 190 triệu USD
Vào sáng ngày 02/8, giao thức cầu nối cross-chain Nomad bị hack 190 triệu USD sau khi ghi nhận nhiều giao dịch bất thường. Trong đó, hệ thống ghi nhận giao dịch có phí gas cao đến 215.8 ETH, khoảng 340,986 USD bị thất bại. Sau đó, số lượng giao dịch bất thường nhắm vào Nomad bridge tăng nhanh và nhanh chóng rút cạn thanh khoản Nomad.
Theo chuyên gia bảo mật tại MetaMask, chủ nhân của giao dịch thất bại phía trên đã liên tục hiện các giao dịch cố khai thác cầu nối Nomad. Theo lịch sử giao dịch từ etherscan, tin tặc đã cố gắng rút ra dưới dạng WETH, WBTC, USDC và thu về 1,630 ETH trên ví.
Từ các tin tức ban đầu, nguyên nhân vụ tấn công đến từ lỗ hổng của hệ thống Nomad bridge. Có lẽ, tin tặc đã phát hiện một đoạn tin nhắn root tự động là 0x00… cho phép rút mã thông báo từ cầu nối. Tiếp đến, hacker đã sao chép đoạn tin nhắn root này và bòn rút tiền. Những người sớm phát hiện thủ thuật của tin tặc đã tranh thủ sao chép đoạn tin nhắn root. Hậu quả, thanh khoản của Nomad bridge bị rút “sạch sành sanh”, trong đó có ba địa chỉ ‘hôi của’ với hơn 90 triệu USD. Về phía nhà phát triển Nomad, họ tiết lộ đã biết vụ việc và đang khắc phục sự cố.
Các vụ hack không yêu cầu cao về chuyên môn IT
Nếu như những vụ tấn công mạng, hack hệ thống trước đây thường xuất phát từ các hacker cao tay thì trong lĩnh vực DeFi gần đây xuất hiện nhiều cuộc tấn công với các nguyên nhân “khó đỡ”. Điển hình như vụ tân công Nomad bridge, một vài tin tức cho rằng lỗ hổng đã được phát hiện từ trước. Tuy nhiên, nhà phát triển đã không khắc phục khiến hiệu ứng Domino gây ra thiệt hại lớn.
Thông qua vụ việc của Nomad bridge, không cần là hacker, một bộ phận người dùng vẫn có thể khai thác thanh khoản. Điều này làm nổi bật cách hoạt động của các hợp đồng thông minh (smart contract) còn nhiều lổ hổng. Song, không phải bản chất của smart contract là thiếu bảo mật, đa phần lỗi xuất phát từ khâu phát triển hợp đồng.
Một hướng tấn công mạng khác qua các nền tảng vay nhanh. Quý độc giả không ít lần nghe đến các vụ khai thác dạng này, gần đây nhất là Nirvana Finance. Tin tặc đã vay một lượng USDC để thế chấp ANA. Sau đó, tin tặc sử dụng ANA để khai thác 3.49 triệu USD từ Kho bạc Nirvana Finance. Điều này dẫn đến giá ANA giảm mạnh 84% cùng ngày.
Bạn nghĩ sao về thông tin trên? Chia sẻ ngay ý kiến trong nhóm Telegram của chúng tôi nhé.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.