Cầu xuyên chuỗi Nomad bị tấn công bởi 300 địa chỉ

Nomad
MEXC

Vụ hack cây cầu cross-chain Nomad khiến “bay màu” 190 triệu USD do hơn 300 địa chỉ tấn công lỗ hổng trong hợp đồng thông minh.

Trong khi hầu hết các vụ hack tiền điện tử đều do những con sói đơn độc gây ra, thì vụ tấn công trị giá 190 triệu USD vào thứ Hai của cây cầu xuyên Nomad dường như được thực hiện bởi hàng trăm kẻ xấu.

Cầu nối xuyên chuỗi của Nomad đã bị tấn công vào các tài sản tiền điện tử khác nhau vào ngày hôm qua sau khi một bản cập nhật phần mềm làm lộ lỗ hổng nghiêm trọng cho phép bất kỳ ai rút tiền từ cây cầu.

Công ty bảo mật blockchain PeckShield nói với The Block hôm nay rằng lỗ hổng bảo mật ban đầu được phát hiện vào thứ Hai bởi một hacker vô danh, kẻ đã nhanh chóng rút gần 95 triệu USD. Khi tin tức về vụ khai thác đầu tiên lan truyền trong giới tiền điện tử, những người khác đã đổ xô tham gia cùng hacker ban đầu để rút tiền cho bản thân.

PeckShield nói với The Block rằng hơn 300 địa chỉ đã “ăn” tiền từ Nomad trong vòng một giờ. Công ty ước tính rằng 41 người trong số đó đã lấy đi 152 triệu USD, tương đương với 80% số tiền bị đánh cắp từ cầu nối xuyên chuỗi của Nomad.

Tuy nhiên, không phải tất cả họ đều là những “diễn viên tồi”. Phân tích của PeckShield đã tìm thấy ít nhất sáu địa chỉ là tin tặc mũ trắng – một cái tên được đặt cho những tin tặc có đạo đức – đã lấy được khoảng 8,2 triệu USD từ cây cầu. Họ được cho là sẽ trả lại số tiền này

Nomad là một cầu nối xuyên chuỗi (cross-chain) – một công cụ cho phép người dùng di chuyển mã thông báo ERC-20 giữa Ethereum, Moonbeam, Evmos và Avalanche. Đây là một trong số các dịch vụ cầu nối có sẵn trong không gian tiền điện tử.

Nomad
Nomad

Chuyện gì xảy ra với Nomad?

Theo PeckShield, lỗ hổng bắt nguồn từ các nhà phát triển Nomad, trong một bản cập nhật hợp đồng thông minh họ phát hành. Lỗi do các nhà phát triển sửa đổi sai hợp đồng thông minh của cây cầu và triển khai mã mà không kiểm tra cẩn thận.

PeckShield cho biết: “Vụ hack cầu Nomad có thể bắt nguồn từ khởi tạo không đúng cách dẫn đến địa chỉ 0 (0x00) được đánh dấu là gốc đáng tin cậy, do đó mọi thông báo đều được chứng minh là hợp lệ theo mặc định”.

Địa chỉ 0x00 (còn được gọi là địa chỉ số 0), gốc đáng tin cậy đã vô tình tắt kiểm tra hợp đồng thông minh để đảm bảo việc rút tiền chỉ được thực hiện đến các địa chỉ hợp lệ.

Sau khi lỗ hổng bảo mật được phát hiện trong mã của Nomad, các yêu cầu rút tiền từ bất kỳ địa chỉ nào được coi là hợp lệ theo mặc định. Điều này có nghĩa là bất kỳ ai cũng có thể rút tiền từ cây cầu nếu họ muốn.

Việc khai thác không yêu cầu kiến ​​thức kỹ thuật nâng cao về hợp đồng thông minh. Tất cả những gì người ta phải làm chỉ đơn giản là chỉnh sửa giao dịch của hacker với Etherscan, thay thế địa chỉ đích bằng địa chỉ của chính họ và thực hiện yêu cầu rút tiền trên cầu Nomad.

Xem thêm: Aleo kiểm tra AVM trước khi ra mắt Testnet 3

Mục đích của bài viết chỉ cung cấp thông tin. Bạn đọc nên cân nhắc trước khi đầu tư.

Nguyễn Linh (Theo TheBlockCrypto)

Theo dõi các kênh thông tin của ApeHub.Net !
Telegram | Facebook | Twitter | ApeHub TV | Instagram

FTX