Lật mở vụ tấn công cầu nối Nomad

Vụ Hack trên cầu nối Nomad

Một bản nâng cấp chưa được audit gần đây đối với các hợp đồng thông minh của giao thức đã tạo ra một lỗ hổng có thể khai thác được. Do đặc thù của vụ hack, nhiều chuyên gia gọi nó là một trong những vụ hack hỗn loạn nhất trong Web3. 

Điều này diễn ra vài ngày sau khi Nomad Protocol công bố vòng hạt giống trị giá 22 triệu đô la Mỹ của dự án, được dẫn đầu bởi các nhà đầu tư được đánh giá cao. Danh sách các cầu nối bị tấn công vào năm 2022 tiếp tục tăng lên, sau các vụ khai thác cầu Wormhole, Ronin và Harmony.

TVL Nomad Protocol chạm đáy

TVL của Nomad Protocol gần đây đã đạt mức cao nhất mọi thời đại là 199 triệu đô la Mỹ vào ngày 22 tháng 7. Trong số các tài sản hàng đầu được gửi vào cầu nối là USDC, WETH và WBTC, đã bị mất mát lần lượt là 87 triệu đô la Mỹ, 39 triệu đô la Mỹ và 24 triệu đô la Mỹ.

Chỉ số trên mô tả TVL của Nomad tăng theo thời gian và sau đó giảm mạnh vào ngày bị hack. Cuộc tấn công bắt đầu với một địa chỉ rút cạn WBTC pool bằng cách xử lý các khoản tiền mà không có bằng chứng về các khoản tiền hỗ trợ nó. Bằng cách sử dụng cầu nối, kẻ tấn công có thể gửi một giao dịch Moonbeam từ 0,01 WBTC và bằng cách nào đó, giao dịch Ethereum đã bắc cầu trong 100 WBTC.

Khi mọi người nhận thấy cuộc tấn công, ước tính có hơn 300 địa chỉ đã sao chép cuộc tấn công và bắt đầu rút cạn các nhóm khác trên Nomad. Một số trong số này bao gồm các tin tặc mũ trắng thậm chí đã đặt tên địa chỉ của họ bằng Dịch vụ đặt tên Ethereum (ENS). Gần đây hơn Nomad đã thông báo về một địa chỉ chính thức để trả lại tiền. Kể từ 12 giờ sáng (EST) ngày 4 tháng 8 năm 2022, địa chỉ khôi phục Nomad chính thức đã nhận được 16,6 triệu đô la Mỹ, trong đó 6,3 triệu đô la Mỹ là USDC.

Những kẻ tấn công đã có thể xử lý một tin nhắn mà không cần chứng minh nó trước. Họ thực hiện điều này bằng cách thao tác hàm “process ()” bằng cách gọi nó trực tiếp mà không cần hàm “prove ()” phê duyệt . Điều này cho phép rút tiền không nhất thiết phải khớp với số tiền họ gửi vào Nomad trên chuỗi khác. Đây là điều đã làm cho vụ hack trở nên bùng nổ. Tin tặc có thể chỉ cần sao chép một giao dịch thành công và thay thế địa chỉ bằng địa chỉ của chính chúng mà không cần biết trước về độ vững chắc.

Trong số các chuỗi chính bị ảnh hưởng có Moonbeam Network, Evmos và Milkomeda. Điều này là do cầu nối Nomad đã được chọn làm cầu nối chính thức cho các hệ sinh thái này. Các mã thông báo đã bị khóa trong mạng chính Ethereum và các wrapped bridge tokens được phát ra trong các chuỗi đích.

Moonbeam là nền tảng chịu hậu quả nặng nề nhất

Biểu đồ dưới cho thấy TVL của Moonbeam, là chuỗi bị ảnh hưởng nhiều nhất bởi cuộc tấn công cầu Nomad. Gần đây, dự án này cũng đã đạt tới mức TVL cao nhất mọi thời đại là 322 triệu đô la Mỹ vào ngày 25 tháng 7 năm 2022. Hiện tại TVL của nền tảng này đang ở mức 88 triệu đô la Mỹ, tức là TVL đã giảm 72% trong 3 ngày qua.

Hơn nữa, các Dapp chính của Moonbeam liên quan đến Nomad đang phải đối mặt với việc rút tiền lớn. Moonwell Artemis và StellaSwap là hai công ty lớn nhất hiện đã giảm lần lượt 81% và 67% thông số TVL trong 7 ngày qua. Các giao thức không hỗ trợ tài sản được wrapped trên Nomad đã tăng TVL của họ một cách đáng ngạc nhiên. Đó là trường hợp của Curve Moonbeam và Lido, lần lượt tăng 25% và 55%. Nhóm lớn nhất của Curve, chiếm 95% TVL của nó là viết tắt của xcDOT + stDOT, hiện không có mã thông báo nào đang gặp phải bất kỳ vấn đề nào. 

GLMR, mã thông báo của Moonbeam Network, đã bị giảm giá tương đối nhỏ sau khi cuộc tấn công ảnh hưởng nặng nề đến TVL của chuỗi.

Biểu đồ trên mô tả biến động giá mã thông báo 14 ngày trước khi xảy ra vụ hack trên cầu Nomad. GLMR giảm từ 0,84 đô la Mỹ xuống 0,64 đô la Mỹ, thể hiện mức giảm giá 23% sau khi cầu Nomad bị khai thác. Cuộc tấn công đã làm tăng khối lượng giao dịch hàng ngày của token này lên mức cao nhất trong 30 ngày là 90 triệu đô la Mỹ

Kết luận

Nhiều người đặt tên sự kiện này là vụ cướp phi tập trung đầu tiên. Nomad đang làm việc với các nhóm điều tra để cố gắng xác định và thu hồi các khoản tiền bị đánh cắp. Cầu nối vẫn tiếp tục cho thấy các lỗ hổng có thể khai thác và gây hại cho nhiều người dùng trong các cuộc tấn công lớn. Mã code của Nomad đã trải qua hai lần kiểm tra trước khi nâng cấp gần đây và giao thức đã tồn tại 8 tháng trước khi xảy ra vụ hack. Vẫn còn sớm để đưa ra kết luận cuối cùng về sự kiện cụ thể này, trong khi một số giao thức khác đã cố gắng tồn tại trong các tình huống gay gắt tương tự.