Sau vụ hack gây thiệt hại lớn, Nomad đã hứa sẽ treo thưởng 10% số tiền bị đánh cắp cho những hacker đồng ý trả lại tiền cho nền tảng, đồng thời coi những người này là hacker mũ trắng. Và chỉ vài giờ sau khi tiết lộ địa chỉ ví Ethereum của mình, Nomad đã được trả lại 32,6 triệu USD từ khoản tiền 190 triệu USD bị mất. Khoản tiền này phần lớn là các stablecoin như USD Coin (USDC), Tether (USDT), Frax… và một vài loại altcoin khác.
Theo nghiên cứu của Paul Hoffman thuộc BestBrokers, lỗ hổng của giao thức Nomad đã được phát hiện trong một cuộc kiểm tra được Quantstamp thực hiện vào ngày 6/6. Tại thời điểm đó, nó được đánh giá là một lỗ hổng “rủi ro thấp”. Thế nhưng sau đó, các hacker đã khéo léo sử dụng gốc Merkle bị khởi tạo sai này để tự do rút tiền khỏi giao thức. Được biết, đây là một lỗi lập trình tự động chứng minh tất cả các giao dịch nào đều là hợp lệ.
Điều đặc biệt của vụ hack này là không chỉ hacker mà nhiều thành viên cộng đồng cũng nhân cơ hội để rút tiền từ Nomad, biến nó thành một “vụ cướp phi tập trung”. Tất cả những gì họ phải làm chỉ đơn giản là sao chép giao dịch của hacker ban đầu. Điều đó đã khiến 190 triệu USD bị rút cạn khỏi ví của Nomad Bridge chỉ trong vòng vỏn vẹn 3 giờ đồng hồ.
Mới đây, một trong số các hacker kể trên cũng bị cáo buộc sử dụng tên miền Ethereum để rửa tiền mà mình đánh cắp, từ đó các tổ chức có liên quan có thể xác minh chéo thông tin của hacker với thông tin KYC của người đó trên nền tảng.