Hàng trăm kẻ khai thác dường như đã rút hết 190 triệu đô TVL của giao thức cầu nối Nomad Bridge chỉ trong vài giờ.
Một dự án cầu nối giữa Ethereum và Moonbeam, parachain chuyên về smart contract Polkadot, Nomad dường như đã trải qua một cuộc khai thác bảo mật cho phép tin tặc rút tiền của cây cầu một cách có hệ thống trong một loạt các giao dịch dài.
Gần như toàn bộ 190,7 triệu đô tài sản tiền điện tử đã rút sạch khỏi giao thức chỉ còn lại 651,54$ trong ví, theo DeFi Llama.
Giao dịch đáng ngờ đầu tiên, có thể là nguồn gốc của việc khai thác lỗ hổng đang diễn ra, đến vào lúc 9:32 tối theo giờ UTC khi ai đó cố gắng để rút 100 Wrapped Bitcoin (WBTC) trị giá khoảng 2,3 triệu đô khỏi giao thức.
Ngay sau khi cộng đồng gióng lên hồi chuông cảnh báo về khả năng khai thác, nhóm Nomad đã xác nhận vào lúc 11:35 tối UTC rằng họ đã biết về "sự cố liên quan đến Nomad bridge" và nói rằng họ "hiện đang điều tra vụ việc. "
Vụ việc đã chứng kiến các token WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) và Charli3 (C3) được rút khỏi giao thức từ những kẻ tấn công.
Những kẻ khai thác đã rút các token một cách bất thường vì mỗi token bị rút với mệnh giá gần như tương đương. Ví dụ: các giao dịch với chính xác 202,440.725413 USDC đã được thực hiện hơn 200 lần.
Nomad là một cầu nối cho phép chuyển token giữa Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 và Moonbeam (GLMR).
Không giống như các vụ tấn công phổ biến khác vào năm 2022, vụ tấn công này có đến hàng trăm địa chỉ nhận token trực tiếp từ cây cầu.
Chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Một người nào đó đã phát hiện ra điều đó và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên.
“Đây chính là lý do vì sao vụ hack lại trở nên hỗn loạn như thế – nó không đòi hỏi bạn phải biết về Solidity hay Merkle Tree. Tất cả những gì bạn phải làm là tìm một giao dịch đã hack thành công, tìm/thay địa chỉ của người khác bằng của bạn, rồi tương tác với smart contract của Nomad.”
Điều đáng nói là lỗ hổng này đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6, song đã bị phớt lờ và dẫn đến hậu quả như hiện tại.
Trong khi đó, nền tảng hợp đồng thông minh Moonbeam của mạng Polkadot đã chuyển sang chế độ bảo trì lúc 11:18 tối theo giờ UTC "để điều tra sự cố bảo mật". Do đó, chức năng của Moonbeam như giao dịch người dùng thông thường và tương tác hợp đồng thông minh sẽ bị vô hiệu hóa.
Cuộc tấn công xảy ra khi các nhà đầu tư vòng hạt giống mới gây quỹ vào tháng 04. Vào ngày 29/07, dự án đã tiết lộ trong một tweet rằng Coinbase Ventures, OpenSea và 5 công ty lớn khác trong ngành công nghiệp tiền điện tử đã tham gia vào đợt gây quỹ vòng hạt giống vào tháng 04 giúp Nomad được định giá 225 triệu đô la.
