Gần 90% địa chỉ tham gia vào vụ hack Nomad Bridge trị giá 186 triệu USD vào tuần trước đã được xác định là “sao chép”, không cần hiểu biết cao siêu gì mà chỉ cần thực hiện 2 lệnh “copy” và “paste” rồi chỉnh sửa vài chi tiết nhỏ. Dẫu vậy, số người này vẫn “kiếm được” tổng số mã thông báo trị giá 88 triệu USD từ Nomad Bridge vào ngày 1 tháng 8 vừa qua.
Trong một blog vào ngày 10 tháng 8 được viết bởi Peter Kacherginsky, nhà nghiên cứu tình báo về mối đe dọa blockchain chính của Coinbase, và Heidi Wilder, cộng sự cấp cao của nhóm điều tra đặc biệt, cặp đôi này đã xác nhận những gì nhiều người đã nghi ngờ trong vụ hack Nomad Bridge vào ngày 1 tháng 8 – rằng một khi các tin tặc ban đầu tìm ra cách lấy tiền, hàng trăm “kẻ bắt chước” đã tham gia.
Theo các nhà nghiên cứu bảo mật, phương pháp “bắt chước” là một biến thể của cách khai thác ban đầu, sử dụng lỗ hổng trong hợp đồng thông minh của Nomad, cho phép người dùng trích tiền từ cầu nối dù chúng không phải của họ.
Sau đó, những kẻ sao chép đã sao chép cùng một mã nhưng đã sửa đổi mã thông báo đích, số lượng mã thông báo và địa chỉ người nhận.
Nhưng trong khi hai tin tặc đầu tiên là thành công nhất (xét về tổng số tiền được trích xuất), một khi phương pháp này trở nên công khai với những kẻ sao chép, nó đã thành một cuộc chạy đua cho tất cả những người tham gia để lấy càng nhiều tiền càng tốt.
Các nhà phân tích của Coinbase cũng lưu ý rằng các tin tặc ban đầu nhắm mục tiêu vào Bitcoin được bọc của Bridge (wBTC), tiếp theo là USD Coin (USDC) và ETH được bao bọc (wETH).
Vì các mã thông báo wBTC, USDC và wETH có mặt ở mật độ lớn nhất trong Cầu Nomad, nên việc các tin tặc ban đầu trích xuất các mã thông báo này trước tiên là rất hợp lý.
Đáng ngạc nhiên là, lời thỉnh cầu “mũ trắng” của Nomad Bridge đã mang về 17% số tiền bị đánh cắp (tính đến ngày 9 tháng 8), với phần lớn các mã thông báo đó ở dạng USDC (30,2%), Tether (USDT) (15,5%) và wBTC ( 14,0%).
Bởi vì các tin tặc ban đầu chủ yếu khai thác wBTC và wETH, thực tế là hầu hết các khoản tiền được trả lại dưới dạng USDC và USDT cho thấy rằng phần lớn số tiền được trả lại là từ các “kẻ sao chép” mũ trắng.
Trong khi đó, khoảng 49% số tiền bị đánh cắp (tính đến ngày 9 tháng 8) đã được chuyển đi nơi khác từ mỗi địa chỉ của người nhận.
Coinbase cũng lưu ý rằng ba địa chỉ người nhận đầu tiên được hỗ trợ bởi Tornado Cash, một giao thức dựa trên Ethereum cho phép người dùng giao dịch ẩn danh. Vào thứ Hai, Bộ Tài chính Hoa Kỳ đã xử phạt tất cả các địa chỉ USDC và ETH được liên kết với giao thức.
Vụ hack Nomad Bridge đã trở thành vụ hack DeFi lớn thứ tư từ trước đến nay và lớn thứ ba vào năm 2022, sau vụ hack Wormhole Bridge trị giá 250 triệu USD vào tháng 2 và vụ hack cầu Ronin trị giá 540 triệu USD vào tháng 3. Các cầu nối xuyên chuỗi như thế này đã bị cáo buộc là quá tập trung, khiến nó trở thành một trang web lý tưởng cho những kẻ tấn công khai thác.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork