Nomad và Slope “năn nỉ” hacker trả tiền bằng thưởng bug bounty

Hai dự án tiền mã hóa đã bị tấn công trong tuần này là Nomad và Slope đều đồng loạt cam kết sẽ không truy tố trách nhiệm hình sự hacker nếu trả lại tiền.

Nomad và Slope “năn nỉ” hacker trả tiền bằng thưởng bug bounty

Như đã được Coin68 đưa tin, lĩnh vực tiền mã hóa trong tuần vừa rồi đã ghi nhận hai sự cố bảo mật nghiêm trọng, dẫn đến thiệt hại vô cùng lớn.

Đầu tiên, vào ngày 02/08, cầu nối cross-chain Nomad đã bị hacker tấn công vì một lỗ hổng đã bị phát hiện từ trước song không được khắc phục triệt để. Nhiều người đã phát hiện cách thức mà kẻ tấn công đã sử dụng và sao chép nó, dẫn đến tình trạng “hôi của” vô tội vạ. Theo một số ước tính, toàn bộ số tiền khoảng 175-190 triệu USD đã bị rút sạch từ Nomad trong ít giờ đồng hồ.

Chỉ một ngày sau, vào ngày 03/08, mạng lưới Solana cuống cuồng trước thông tin hàng loạt ví tiền bị rút sạch mà không rõ nguyên nhân, gây hoang mang cực độ. Sau nhiều giờ loay hoay xác định nguồn gốc, lỗ hổng bị phát hiện nằm tại ứng dụng ví crypto Slope, vốn đã vô tình truyền thông tin private key và seed phrase của người dùng ra các server bên thứ 3. Tổng cộng đã có khoảng 8.000 ví tiền mã hóa trên Solana từng tương tác với Slope trong quá khứ bị ảnh hưởng, thiệt hại nằm trong khoảng 4-6 triệu USD.

Nomad sau đó đã đăng tải một địa chỉ ví và yêu cầu những ai đã “hôi của” từ cầu nối này hãy tự giác trả lại tiền. Đến tối ngày 03/08, dự án đã nhận về 9,1 triệu USD từ các hacker mũ trắng.

Tuy nhiên, vì tốc độ hoàn tiền chậm, Nomad đã quyết định nhượng bộ và cho phép những ai trả tiền được phép giữ lại 10% làm phần thưởng phát hiện lỗi (bug bounty) và cam kết sẽ không truy tố trách nhiệm hình sự.

Kể từ đó, số tiền trả lại cho dự án đã tăng đều và cán mốc 32 triệu USD vào 12:00 AM ngày 06/08, chủ yếu gồm các token USDT, USDC, WBTC, DAI và FRAX. Đáng chú ý, một địa chỉ đã trả lại đến 9,4 triệu USD mà không lấy bug bounty. Đây là khoản hoàn tiền riêng lẻ lớn nhất từ khi xảy ra vụ tấn công.

Số dư địa chỉ ví thu hồi tiền của Nomad vào 12:00 PM ngày 06/08/2022. Nguồn: Etherscan

Tương tự, Slope vào sáng 06/08 cũng đăng thông báo thưởng 10% số tiền cho hacker nếu hắn đồng ý hoàn tiền cho dự án. Tuy nhiên, Slope chỉ có hacker 48 giờ để cân nhắc lựa chọn, sau hạn chót này thì dự án sẽ theo đuổi hành động pháp lý để vạch mặt kẻ tấn công.

Đến 12:00 PM ngày 06/08/2022, địa chỉ ví nhận tiền của Slope vẫn trống rỗng, đồng nghĩa với việc hacker chưa trả lại tiền.

Song, một câu hỏi khác đặt ra là nếu hacker trả tiền, Slope sẽ bồi thường cho người dùng bằng cách nào khi các địa chỉ cũ không có thể sử dụng lại.

Coin68 tổng hợp