Startup tiền điện tử bị hacker đánh cắp 200 triệu USD

Tin tặc đã khai thác lỗ hổng trên cầu nối Nomad và lấy đi 200 triệu USD. Vụ việc một lần nữa làm dấy lên lo ngại về tính bảo mật của ngành công nghiệp tiền điện tử.

CNBC đưa tin tin tặc đã rút gần 200 triệu USD tiền mã hóa từ startup Nomad - một cầu nối cho phép người dùng chuyển các token từ blockchain này sang blockchain khác.

"Chúng tôi đang điều tra và sẽ cập nhật thông tin khi có thể", Nomad cho biết trong một tweet cuối ngày 1/8.

Không rõ các tin tặc đã tấn công thế nào và Nomad có kế hoạch trả tiền cho những người dùng bị ảnh hưởng hay không. Các tài sản bị ảnh hưởng là những token neo giá trị với một đồng tiền điện tử khác.

Các chuyên gia bảo mật chuỗi khối đã mô tả việc khai thác này là "miễn phí cho tất cả". Bất kỳ ai có kiến ​​thức về khai thác và cách nó hoạt động đều có thể nắm bắt lỗ hổng và rút một lượng token từ Nomad - giống như một máy rút tiền phun ra tiền chỉ bằng một nút bấm.

Victor Young, người sáng lập kiêm kiến ​​trúc sư trưởng của công ty khởi nghiệp tiền điện tử Analog cho biết: “Nếu không có kinh nghiệm lập trình trước đó, bất kỳ người dùng nào cũng có thể sao chép dữ liệu cuộc gọi giao dịch gốc của những kẻ tấn công và thay thế địa chỉ bằng địa chỉ của họ để khai thác giao thức".

"Không giống như các cuộc tấn công trước đây, vụ hack Nomad trở thành một cuộc tấn công miễn phí khi nhiều người dùng bắt đầu phá hủy mạng bằng cách chỉ phát lại dữ liệu cuộc gọi giao dịch ban đầu của những kẻ tấn công", Victor Young nói thêm.

Sam Sun, đối tác nghiên cứu tại công ty đầu tư tập trung vào tiền điện tử Paradigm, đã mô tả vụ khai thác này là "một trong những vụ hack hỗn loạn nhất mà Web3 từng thấy" - Web3 là một phiên bản giả định trong tương lai của internet được xây dựng dựa trên công nghệ blockchain.

Nomad được gọi là "cầu nối", một công cụ cho phép người dùng trao đổi mã thông báo và thông tin giữa các mạng tiền điện tử khác nhau. Chúng được sử dụng như một giải pháp thay thế cho việc thực hiện các giao dịch trực tiếp trên một blockchain như Ethereum, có thể tính phí xử lý cao của người dùng khi có nhiều hoạt động xảy ra cùng một lúc.

Lỗ hổng của Nomad nằm ở bản nâng cấp mã. Theo đó, người dùng có thể rút nhiều tài sản mã hóa hơn số tiền gửi vào nền tảng, chẳng hạn giao dịch có giá trị chính xác 202.440,725413 được thực hiện hơn 200 lần.

Những lỗ hổng bảo mật và thiết kế đã khiến các cầu nối như Nomad trở thành mục tiêu của tin tặc. Theo một báo cáo từ công ty Elliptic, hơn 1 tỷ USD tài sản mã hóa bị đánh cắp thông qua những cầu nối trong năm 2022.

Vào tháng 4, một cầu nối có tên Ronin đã bị tin tặc rút 600 triệu USD tiền mã hóa. Vài tháng sau, một vụ tấn công tương tự khiến cầu nối Harmony mất 100 triệu USD.