Dũng Đỗ
Writer
Andean Medjedovic, một thanh niên 22 tuổi người Canada, đã bị Bộ Tư pháp Mỹ (DOJ) cáo buộc là thủ phạm đứng sau vụ tấn công tinh vi nhắm vào nền tảng tài chính phi tập trung (DeFi) KyberSwap, gây thiệt hại lên tới 48,4 triệu USD. Vụ việc, xảy ra từ năm 2023, vừa được DOJ công bố thông tin chi tiết vào ngày 3/2 trên website và tại tòa án liên bang ở New York.
Theo cáo trạng, Medjedovic đã lợi dụng lỗ hổng trong hợp đồng thông minh của KyberSwap và một nền tảng DeFi khác là Indexed Finance để chiếm đoạt tổng cộng khoảng 65 triệu USD. Riêng với KyberSwap, nền tảng do Kyber Network - một dự án blockchain từ Việt Nam phát triển, hacker đã "cuỗm" đi 48,4 triệu USD (hơn 1200 t ỷ đồng). Trần Huy Vũ, nhà đồng sáng lập và CEO của Kyber Network, cho biết hiện vẫn chưa thu hồi lại được toàn bộ số tiền bị đánh cắp. Tuy nhiên, công ty đã chủ động hoàn thành việc đền bù cho toàn bộ người dùng bị ảnh hưởng vào ngày 2/2 vừa qua.
Vụ tấn công xảy ra vào ngày 26/11/2023, được đánh giá là "cuộc tấn công phức tạp nhất trong lịch sử DeFi" do tính chất tinh vi và hiếm gặp của lỗ hổng bị khai thác. KyberSwap, với chức năng cho phép hoán đổi qua lại giữa các đồng tiền số, cần dự trữ một lượng tiền số nhất định trong các "bể thanh khoản" được huy động từ người dùng. Nền tảng này cũng xây dựng cơ chế khớp lệnh tự động dựa trên giá cả thị trường nhằm mang lại lợi ích tối ưu cho người dùng.
Medjedovic đã thực hiện tấn công bằng cách vay một lượng lớn tiền từ các công cụ cho vay chớp nhoáng (flash loan), sau đó đưa số tiền này vào các nhóm thanh khoản có tên KyberSwap Elastic. Tiếp theo, hắn thao túng giá và tạo ra các giao dịch hoán đổi được tính toán kỹ lưỡng để khai thác lỗ hổng, khiến công cụ tính toán sai lệch thanh khoản khả dụng. Nhờ đó, hacker có thể rút được số tiền nhiều hơn so với số tiền đã gửi vào.
Cáo trạng cho thấy Medjedovic đã lên kế hoạch kỹ lưỡng cho vụ tấn công, bao gồm cả việc nghiên cứu về múi giờ hoạt động của CEO và người dùng ở Mỹ, châu Âu, từ đó chọn ra khung giờ ít người hoạt động nhất để dễ dàng thực hiện hành vi thao túng. Hắn cũng khai thác một lỗ hổng "làm tròn toán học" rất sâu trong hợp đồng thông minh của KyberSwap và tính toán giá trị giao dịch có thể khiến nền tảng gặp trục trặc. Cụ thể, dù công cụ giới hạn số token hoán đổi là 1.056.056.735.638.220.800.000, hacker đã đặt lệnh hoán đổi 1.056.056.735.638.220.799.999 nằm trong giới hạn, nhưng việc làm tròn số đã khiến một số hàm hoạt động không chính xác, tạo ra lỗ hổng để khai thác.
Với thủ đoạn tinh vi, Medjedovic đã tấn công 77 bể thanh khoản của KyberSwap và chiếm đoạt 48,4 triệu USD. Số tiền này sau đó được chuyển qua nhiều sàn giao dịch và "máy trộn" (mixer) nhằm xóa dấu vết. Ngoài ra, hacker còn nhiều lần gửi thông điệp đòi kiểm soát công ty nếu muốn được trả lại một phần tiền, dẫn đến cáo buộc thêm tội danh tống tiền. Medjedovic đang phải đối mặt với các tội danh âm mưu rửa tiền, phá hoại trái phép hệ thống máy tính và tống tiền, với mức án có thể từ 10 đến 20 năm tù cho mỗi tội danh.
Đặc vụ phụ trách Chavis nhận định: "Đây là vụ lừa đảo tinh vi, khai thác lỗ hổng trong hợp đồng thông minh dẫn đến việc đánh cắp hàng triệu USD tiền điện tử". DOJ cũng tiết lộ một chi tiết thú vị: trong quá trình đưa tiền số vào "máy trộn", Medjedovic đã gặp sự cố và liên hệ với "một nhà phát triển phần mềm" để nhờ hỗ trợ, nhưng thực chất đó lại là một điều tra viên đóng giả. "Ngay cả với sự phức tạp của DeFi, chúng tôi đã lần ra được kẻ chịu trách nhiệm cho vụ trộm quy mô lớn này và anh ta đang bị truy nã", DOJ tuyên bố.
Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hoạt động của Kyber Network. Cuối năm 2023, công ty đã phải tái cơ cấu, cắt giảm 50% nhân sự và đóng cửa KyberSwap Elastic - sản phẩm bị tấn công trực tiếp.
Theo cáo trạng, Medjedovic đã lợi dụng lỗ hổng trong hợp đồng thông minh của KyberSwap và một nền tảng DeFi khác là Indexed Finance để chiếm đoạt tổng cộng khoảng 65 triệu USD. Riêng với KyberSwap, nền tảng do Kyber Network - một dự án blockchain từ Việt Nam phát triển, hacker đã "cuỗm" đi 48,4 triệu USD (hơn 1200 t ỷ đồng). Trần Huy Vũ, nhà đồng sáng lập và CEO của Kyber Network, cho biết hiện vẫn chưa thu hồi lại được toàn bộ số tiền bị đánh cắp. Tuy nhiên, công ty đã chủ động hoàn thành việc đền bù cho toàn bộ người dùng bị ảnh hưởng vào ngày 2/2 vừa qua.
Vụ tấn công xảy ra vào ngày 26/11/2023, được đánh giá là "cuộc tấn công phức tạp nhất trong lịch sử DeFi" do tính chất tinh vi và hiếm gặp của lỗ hổng bị khai thác. KyberSwap, với chức năng cho phép hoán đổi qua lại giữa các đồng tiền số, cần dự trữ một lượng tiền số nhất định trong các "bể thanh khoản" được huy động từ người dùng. Nền tảng này cũng xây dựng cơ chế khớp lệnh tự động dựa trên giá cả thị trường nhằm mang lại lợi ích tối ưu cho người dùng.
Medjedovic đã thực hiện tấn công bằng cách vay một lượng lớn tiền từ các công cụ cho vay chớp nhoáng (flash loan), sau đó đưa số tiền này vào các nhóm thanh khoản có tên KyberSwap Elastic. Tiếp theo, hắn thao túng giá và tạo ra các giao dịch hoán đổi được tính toán kỹ lưỡng để khai thác lỗ hổng, khiến công cụ tính toán sai lệch thanh khoản khả dụng. Nhờ đó, hacker có thể rút được số tiền nhiều hơn so với số tiền đã gửi vào.
Cáo trạng cho thấy Medjedovic đã lên kế hoạch kỹ lưỡng cho vụ tấn công, bao gồm cả việc nghiên cứu về múi giờ hoạt động của CEO và người dùng ở Mỹ, châu Âu, từ đó chọn ra khung giờ ít người hoạt động nhất để dễ dàng thực hiện hành vi thao túng. Hắn cũng khai thác một lỗ hổng "làm tròn toán học" rất sâu trong hợp đồng thông minh của KyberSwap và tính toán giá trị giao dịch có thể khiến nền tảng gặp trục trặc. Cụ thể, dù công cụ giới hạn số token hoán đổi là 1.056.056.735.638.220.800.000, hacker đã đặt lệnh hoán đổi 1.056.056.735.638.220.799.999 nằm trong giới hạn, nhưng việc làm tròn số đã khiến một số hàm hoạt động không chính xác, tạo ra lỗ hổng để khai thác.
Với thủ đoạn tinh vi, Medjedovic đã tấn công 77 bể thanh khoản của KyberSwap và chiếm đoạt 48,4 triệu USD. Số tiền này sau đó được chuyển qua nhiều sàn giao dịch và "máy trộn" (mixer) nhằm xóa dấu vết. Ngoài ra, hacker còn nhiều lần gửi thông điệp đòi kiểm soát công ty nếu muốn được trả lại một phần tiền, dẫn đến cáo buộc thêm tội danh tống tiền. Medjedovic đang phải đối mặt với các tội danh âm mưu rửa tiền, phá hoại trái phép hệ thống máy tính và tống tiền, với mức án có thể từ 10 đến 20 năm tù cho mỗi tội danh.
Đặc vụ phụ trách Chavis nhận định: "Đây là vụ lừa đảo tinh vi, khai thác lỗ hổng trong hợp đồng thông minh dẫn đến việc đánh cắp hàng triệu USD tiền điện tử". DOJ cũng tiết lộ một chi tiết thú vị: trong quá trình đưa tiền số vào "máy trộn", Medjedovic đã gặp sự cố và liên hệ với "một nhà phát triển phần mềm" để nhờ hỗ trợ, nhưng thực chất đó lại là một điều tra viên đóng giả. "Ngay cả với sự phức tạp của DeFi, chúng tôi đã lần ra được kẻ chịu trách nhiệm cho vụ trộm quy mô lớn này và anh ta đang bị truy nã", DOJ tuyên bố.
Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hoạt động của Kyber Network. Cuối năm 2023, công ty đã phải tái cơ cấu, cắt giảm 50% nhân sự và đóng cửa KyberSwap Elastic - sản phẩm bị tấn công trực tiếp.
