Vào khoảng 4h30 sáng ngày 02/08 (giờ Việt Nam), cộng đồng tiền số trên Twitter bắt đầu ghi nhận những giao dịch lạ liên quan đến Nomad, một dự án cầu nối giữa Ethereum và Moonbeam, parachain chuyên về smart contract Polkadot.
Cụ thể, nhà phát triển MetaMask với tên tài khoản là sniko_ đã chia sẻ về một loạt giao dịch trả phí đến 350.000 USD nhưng vẫn thất bại. Sau đó, người này phát hiện ra đây là một nỗ lực tấn công vào Nomad, rút hàng loạt các WBTC, WETH, USDC cùng nhiều token ERC-20 khác bằng hàng loạt các giao dịch nhỏ lẻ.
Theo thống kê của người dùng 1kbeetlejuice, trong 2 giờ sau đó, smart contract của Nomad đã bị rút cạn tiền, giảm từ mức 176,6 triệu USD về còn gần bằng 0.
Còn tài khoản FatManTerra thì tuyên bố rằng vụ tấn công này được thực hiện bằng nhiều tài khoản hoặc thậm chí đã xảy ra tình trạng “hôi của”, khi có những người dùng đã sao chép lại giao dịch của hacker đầu tiên và chỉ thay đổi mỗi địa chỉ rút tiền nhằm bòn rút từ Nomad. FatMan còn đùa vui rằng đây là vụ tấn công “phi tập trung” đầu tiên trong dòng lịch sử của lĩnh vực tiền số.
Qua quá trình truy vết, có thể thấy dòng tiền bị bòn rút “chảy” về 3 địa chỉ ví, với tổng giá trị đến 90 triệu USD.
Chuyên gia bảo mật samczsun sau đó phát hiện ra rằng lỗ hổng của Nomad xuất phát từ việc dự án đã cho phép cấp quyền rút tiền cho đoạn tin nhắn root mặc định là 0x000… Một người nào đó đã phát hiện ra điều đó và tiến hành rút tiền. Những người khác sau đó cũng phát hiện ra lỗ hổng và chỉ cần sao chép lại giao dịch của hacker đầu tiên.
Điều đáng nói là lỗ hổng này đã được đơn vị kiểm toán smart contract Quantstamp phát hiện và cảnh báo cho Nomad từ đầu tháng 6, song đã bị phớt lờ và dẫn đến hậu quả như hiện tại.
CABO Team tổng hợp
