Lộ danh tính hacker 22 tuổi chiếm đoạt hơn 48 triệu USD từ blockchain Việt KyberSwap
Vụ việc được đánh giá là một trong những cuộc tấn công phức tạp nhất lịch sử DeFi, khi hacker này lợi dụng lỗ hổng hiếm gặp trong hợp đồng thông minh để thao túng hệ thống.
Andean Medjedovic (22 tuổi), mang quốc tịch Canada, bị cáo buộc là kẻ chủ mưu vụ tấn công KyberSwap, chiếm đoạt hơn 48 triệu USD từ người dùng nền tảng này.
Vụ việc xảy ra vào năm 2023, nhưng đến ngày 3/2, Bộ Tư pháp Mỹ (DOJ) mới chính thức công bố danh tính nghi phạm trên trang web và tại tòa án liên bang ở New York.
Theo cáo trạng, Medjedovic đã lợi dụng lỗ hổng của 2 nền tảng tài chính phi tập trung (DeFi) là KyberSwap và Indexed Finance nhằm đánh cắp tổng cộng khoảng 65 triệu USD, trong đó riêng KyberSwap mất 48,4 triệu USD.
Cuộc tấn công tinh vi vào KyberSwap
Nhà đồng sáng lập kiêm CEO Kyber Network Trần Huy Vũ xác nhận đến nay nền tảng vẫn chưa thể thu hồi toàn bộ số tiền bị đánh cắp. Dù vậy, KyberSwap đã hoàn thành việc bồi thường cho người dùng vào ngày 2/2.
Sự cố xảy ra vào ngày 26/11/2023, được giới chuyên gia đánh giá là "một trong những cuộc tấn công phức tạp nhất lịch sử DeFi". Hacker đã lợi dụng một lỗ hổng hiếm gặp trong hợp đồng thông minh của KyberSwap, thực hiện nhiều giao dịch tinh vi để rút số tiền khổng lồ.
KyberSwap là nền tảng cho phép hoán đổi tiền điện tử, vận hành dựa trên các "bể thanh khoản" – nơi người dùng gửi tiền vào để hệ thống có thể thực hiện giao dịch.
Để đảm bảo tính minh bạch và hiệu quả, nền tảng sử dụng các thuật toán khớp lệnh tự động nhằm mang lại tỷ giá tốt nhất cho người dùng. Tuy nhiên, Medjedovic đã khai thác chính cơ chế này để thao túng hệ thống.
Vụ tấn công gây thiệt hại nghiêm trọng cho Kyber Network, buộc công ty phải tái cơ cấu vào cuối năm 2023. Họ đã cắt giảm 50% nhân sự và đóng cửa KyberSwap Elastic, đánh dấu một bước lùi lớn của dự án blockchain đến từ Việt Nam.
Chiêu thức tấn công
Nam hacker đã tận dụng công cụ cho vay chớp nhoáng (flash loan) để vay một lượng lớn tiền mà không cần thế chấp. Sau đó, hắn đưa số tiền này vào các bể thanh khoản KyberSwap Elastic, thao túng giá bằng cách thực hiện hàng loạt giao dịch hoán đổi. Khi hệ thống bị đánh lừa và tính toán sai thanh khoản khả dụng, Medjedovic có thể rút được nhiều hơn số tiền đã nạp vào.
Cáo trạng cũng tiết lộ, nghi phạm đã lên kế hoạch tỉ mỉ, nghiên cứu kỹ múi giờ hoạt động của CEO Kyber Network và người dùng tại Mỹ lẫn châu Âu, rồi chọn thời điểm ít người giám sát nhất để ra tay.
Ngoài ra, Medjedovic còn khai thác một lỗ hổng hiếm gặp liên quan đến "làm tròn toán học" trong hợp đồng thông minh của KyberSwap. Lỗ hổng này giúp hắn tạo ra sai lệch trong tính toán giá trị giao dịch, khiến nền tảng gặp trục trặc.
Quá trình tấn công được thực hiện trên 77 bể thanh khoản, giúp hacker chiếm đoạt 48,4 triệu USD. Số tiền này sau đó được chuyển qua nhiều sàn giao dịch, sử dụng dịch vụ "máy trộn" nhằm xóa dấu vết.
Hacker đòi kiểm soát công ty
Không dừng lại ở việc đánh cắp tiền, Medjedovic nhiều lần gửi thông điệp yêu cầu quyền kiểm soát Kyber Network để đổi lấy việc hoàn trả một phần số tiền. Vì vậy, ngoài các cáo buộc rửa tiền và truy cập trái phép hệ thống máy tính, nam thanh niên còn bị buộc tội tống tiền, với mức án từ 10 - 20 năm tù cho mỗi tội danh.
"Đây là một vụ lừa đảo tinh vi, khai thác lỗ hổng hợp đồng thông minh để chiếm đoạt hàng triệu USD tiền điện tử", đặc vụ Chavis nhận định.
Theo DOJ tiết lộ, trong quá trình rửa tiền, Medjedovic gặp trục trặc khi sử dụng máy trộn và liên hệ với một "nhà phát triển phần mềm" để nhờ trợ giúp.
Người này thực chất là một điều tra viên chìm. Đại diện DOJ cho biết: "Dù DeFi có phức tạp đến đâu, chúng tôi vẫn lần ra được kẻ chịu trách nhiệm và hắn đang bị truy nã".
>> DeepSeek là 'Temu phiên bản AI’, cơn sốt giá rẻ sẽ đe dọa loạt ông lớn công nghệ?
