Vào thứ Hai, cầu nối mã thông báo chéo chuỗi Nomad đã bị tấn công và tin tặc đã bòn rút 190 triệu đô la từ giao thức, rút sạch phần lớn số tiền. Cuộc tấn công cầu xuyên chuỗi Nomad là vụ trộm tiền điện tử lớn thứ ba trong năm 2022 và lớn thứ chín mọi thời đại.
Cầu xuyên chuỗi du mục được khai thác với giá 190 triệu đô la
Các cây cầu xuyên chuỗi trong thế giới tài chính phi tập trung (defi) không thể đạt được sự phá vỡ cho dù chúng đã hoạt động trong bao lâu và ngay cả sau khi các cây cầu đã được kiểm toán. Vào ngày 1 tháng 8 năm 2022, cây cầu xuyên chuỗi Nomad bị một cuộc tấn công khiến cây cầu mất 190 triệu đô la tiền điện tử. Các chuyên gia bảo mật tại công ty kiểm toán blockchain Certik đã xuất bản một báo cáo sự cố mô tả những gì đã xảy ra.
“Lỗ hổng trong quá trình khởi tạo, nơi“ commitRoot ”được đặt là ZERO,” Certik viết. “Do đó, những kẻ tấn công đã có thể bỏ qua quy trình xác minh tin nhắn và rút các mã thông báo khỏi hợp đồng cầu nối,” Certik nói thêm, lưu ý:
Việc khai thác xảy ra khi một bản nâng cấp định kỳ cho phép bỏ qua các thông báo xác minh trên Nomad. Những kẻ tấn công đã lạm dụng điều này để sao chép / dán các giao dịch và có thể rút sạch cây cầu của gần như tất cả các khoản tiền trước khi nó có thể bị dừng lại.
Các cầu xuyên chuỗi đã bị khai thác hết sau khi khai thác kể từ khi chúng được đưa vào sử dụng lần đầu. Vào cuối tháng 3, vụ hack lớn nhất năm 2022 đã bị đánh cắp 620 triệu đô la từ cây cầu Ronin của Axie Infinity. Các nhà nghiên cứu tại Comparitech nêu chi tiết rằng vụ tấn công cầu Nomad là vụ vi phạm lớn thứ ba trong năm nay, theo trình theo dõi vụ trộm tiền điện tử của công ty nghiên cứu. Trong khi Nomad kết nối nhiều mạng lưới blockchain khác nhau, người sáng lập và Giám đốc điều hành của AVA Labs, Emin Gün Sirer, đã tweet về vụ việc và nói rằng cầu AVAX an toàn.
“Cây cầu Nomad, được sử dụng bởi dây xích không phải của Avalanche, đã bị tấn công vào ngày hôm nay,” Gün Sirer đã viết. “Nomad là cầu nối chính thức cho EVMOS (Cosmos EVM), Moonbeam (Polkadot EVM) và Milkomeda (EVM khác) – Cầu Avalanche không bị ảnh hưởng.”
Nomad đã huy động được 22 triệu đô la vào tháng 4, Công ty bảo mật Blockchain Certik cho biết lỗi đặc biệt này ‘sẽ khó phát hiện ra theo các phương pháp kiểm toán thông thường’
Cuộc tấn công chống lại cây cầu Nomad diễn ra sau dự án gây quỹ hạt giống khoảng 22,4 triệu đô la trong một vòng tài chính do Polychain Capital dẫn đầu. Các nhà đầu tư chiến lược khác đã giúp Nomad gây quỹ bao gồm 1kx, Ethereal Ventures, Hack.vc, Circle Ventures, Amber, Robot Ventures, Hypersphere, Figment, Dialectic, Archetype và Ledgerprime. Trong khi một cuộc kiểm tra rộng có thể đã tìm thấy lỗ hổng cầu Nomad, các nhà kiểm toán blockchain và hợp đồng thông minh từ Certik cho biết cuộc tấn công này có thể khó tìm thấy hơn trong một cuộc kiểm toán thông thường.
Báo cáo của Certik về tình huống Nomad kết luận: “Loại vấn đề này sẽ khó được phát hiện theo thực tiễn kiểm toán thông thường giả định rằng tất cả các cấu hình triển khai đều đúng, bởi vì lỗi cụ thể này được đưa ra do các sai lầm trong các thông số triển khai”. “Tuy nhiên, một quy trình đánh giá rộng hơn và kiểm tra thâm nhập toàn bộ phạm vi bao gồm xác thực các quy trình triển khai sẽ có khả năng nắm bắt được lỗi này,” đánh giá viên nói thêm.
Bạn nghĩ gì về việc khai thác xuyên chuỗi gần đây đối với cây cầu Nomad? Hãy cho chúng tôi biết bạn nghĩ gì về chủ đề này trong phần bình luận bên dưới.
Tín dụng hình ảnh: Shutterstock, Pixabay, Wiki Commons, Comparitech,
Tuyên bố từ chối trách nhiệm: Tờ báo này chỉ đưa thông tin đúng sự thật. Nó không phải là một lời đề nghị trực tiếp hoặc lời mời chào mua hoặc bán, hoặc một lời giới thiệu hoặc chứng thực cho bất kỳ sản phẩm, dịch vụ hoặc công ty nào. Bitcoin.com không cung cấp lời khuyên về đầu tư, thuế, pháp lý hoặc kế toán. Công ty và tác giả đều không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào gây ra hoặc bị cáo buộc là do hoặc liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung, hàng hóa hoặc dịch vụ nào được đề cập trong bài viết này.