Andean Medjedovic, 22 tuổi, đến từ Canada, bị buộc tội tấn công và nhận được hơn 48 triệu đô la từ người dùng Kyberswap.
Vụ hack xảy ra từ năm 2023 và thông tin về những kẻ tấn công đã được Bộ Tư pháp Hoa Kỳ (DOJ) công bố vào ngày 3 tháng 2 tại trang web và tại tòa án liên bang ở New York. Medjedovic trẻ tuổi bị buộc tội khai thác khoảng cách giữa hai nền tảng tài chính phi tập trung (DEFI), Kyberswap và tài chính được lập chỉ mục, khoảng 65 triệu đô la. Đặc biệt, giá ăn cắp từ Kyberswap là 48,4 triệu đô la.
Tran Huy Vu, đồng sáng lập và CEO của Kyber Network, cho biết họ đã không thu hồi được tất cả các quỹ bị đánh cắp từ tin tặc. Tuy nhiên, nền tảng cũng tích cực hoàn thành việc bồi thường của tất cả người dùng vào ngày 2 tháng 2.
Hướng dẫn với logo của Kyberswap. hình ảnh: Tiền xu
Trước cuộc tấn công, Kyberswap là một trong những nền tảng chính cho các giao dịch phi tập trung, với doanh số 4,4 tỷ đô la, phục vụ hơn 900.000 người dùng toàn cầu trên toàn thế giới. Vụ việc xảy ra vào ngày 26 tháng 11 năm 2023 là “cuộc tấn công phức tạp nhất trong lịch sử Defi” khi tin tặc khai thác các lỗ hổng hiếm gặp trong hợp đồng thông minh của Kyberswap và trả tiền nhiều lần.
Kyberswap ban đầu là một nền tảng có thể được trao đổi giữa các loại tiền kỹ thuật số, vì vậy cần phải giữ lại một số tiền nhất định trong “bể thanh khoản” để huy động từ người dùng. Họ cũng thiết lập một cơ chế để phù hợp với các đơn đặt hàng khi giá phù hợp và tốt cho người dùng.
Medjedovic tấn công với các bước chính: vay tiền từ một khoản vay flash; đặt số tiền đó vào một nhóm thanh khoản gọi là đàn hồi Kyberswap; Tính toán cẩn thận việc tạo ra các giao dịch thao túng giá và trao đổi để khai thác các khoảng trống, dẫn đến công cụ tính toán thanh khoản không chính xác. Từ đó, tin tặc có thể rút nhiều hơn số tiền được gửi.
Theo bản cáo trạng, Medjedovic đã cẩn thận phác thảo chương trình, thậm chí còn xem xét thời điểm của CEO, người dùng Hoa Kỳ và Châu Âu, và sau đó chọn khung thời gian mà ít người có thể dễ dàng thao túng.
Medjedovic cũng khai thác lỗ hổng “toán học” rất sâu trong hợp đồng thông minh của Kyberswap, việc tính toán giá trị giao dịch có thể dẫn đến thất bại nền tảng. Ví dụ: mã vẽ giới hạn công cụ là 1.056.056.735.638.220.800.000. Hacker đặt lệnh trao đổi trong vòng 1.056.056.735.638.220.799.999, nhưng việc làm tròn các con số gây ra một số chức năng không chính xác như cài đặt ban đầu, tạo ra một lỗ hổng.
Medjedovic đã thực hiện nó từ 77 xe tăng chất lỏng Kyberswap và lấy đi 48,4 triệu đô la, bản cáo trạng cho biết. Số lượng này sau đó đã được tìm thấy trên nhiều trao đổi và nguồn gốc đã bị xóa thông qua máy trộn.
Ngoài ra, tin tặc Canada liên tục gửi tin nhắn cho các công ty kiểm soát nếu họ muốn hoàn trả một phần tiền của họ. Vì vậy, ngoài âm mưu trái phép và phá hủy các hệ thống máy tính, Medgidovic bị buộc tội nhiều tội tống tiền hơn, với mỗi tội phạm có khả năng bị kết án 10-20 năm tù.
“Đó là một sự gian lận phức tạp, tận dụng khoảng cách trong các hợp đồng thông minh, dẫn đến hành vi trộm cắp hàng triệu đô la tiền điện tử”, đại lý phụ trách Chavis nói. Bộ Tư pháp cũng cho biết Medjedovic có vấn đề trong khi bỏ tiền vào “máy trộn” và liên hệ với “các nhà phát triển phần mềm” để được hỗ trợ, nhưng thực sự là một điều tra viên giả mạo. Ngay cả với sự phức tạp của Defi, chúng tôi chịu trách nhiệm cho vụ trộm khổng lồ này, và anh ta đang bị truy nã.
Cuộc tấn công cũng ảnh hưởng đến hoạt động của dự án Blockchain Việt Nam. Vào năm 2024, họ phải tổ chức lại, cắt giảm nhân viên và chi phí, tập trung vào các dịch vụ cốt lõi và thực hiện các cam kết hoàn trả của họ cho tất cả người dùng bị ảnh hưởng. “Chúng tôi hy vọng rằng các công ty Việt Nam có thể duy trì danh tiếng với người dùng của họ, đặc biệt là khi tham gia vào thị trường toàn cầu”, CEO Tran Huy Vu nói.
Ông nói rằng việc tái cấu trúc cũng đã mang lại một số thay đổi tích cực. Vào năm 2024, khối lượng giao dịch của Kyberswap là khoảng 26,7 tỷ đô la khi thị trường kỹ thuật số bùng nổ, tăng gấp sáu lần trong năm 2023, phục vụ 1,9 triệu người dùng.
Luu QUY
