Lộ diện hacker 22 tuổi đứng sau vụ tấn công phức tạp nhất trong lịch sử DeFi, đánh cắp 65 triệu USD
Hacker Canada 22 tuổi đánh cắp 65 triệu USD từ KyberSwap và Indexed Finance, gây chấn động DeFi. Kyber Network lên tiếng, khẳng định không liên quan.
Bộ Tư pháp Mỹ (DOJ) mới đây đã công bố cáo trạng chống lại Andean Medjedovic (22 tuổi, quốc tịch Canada), kẻ bị cáo buộc tấn công hai giao thức tài chính phi tập trung (DeFi) KyberSwap và Indexed Finance, chiếm đoạt tổng cộng 65 triệu USD tiền số. Trong đó, KyberSwap, một nền tảng blockchain của Việt Nam, bị thiệt hại nặng nhất với số tiền 48,4 triệu USD.
Vụ hack DeFi tinh vi nhất lịch sử
Vụ tấn công diễn ra vào ngày 26/11/2023, được mô tả là "cuộc tấn công phức tạp nhất trong lịch sử DeFi". Medjedovic đã lợi dụng lỗ hổng hiếm trong hợp đồng thông minh của KyberSwap để thực hiện các giao dịch hoán đổi, khiến hệ thống tính toán sai thanh khoản khả dụng và rút ra số tiền lớn hơn mức gửi vào.
Theo cáo trạng, hacker này đã chuẩn bị kỹ lưỡng, nghiên cứu giờ giấc hoạt động của CEO và người dùng ở Mỹ, châu Âu để chọn thời điểm ít người giám sát nhất. Y cũng khai thác lỗ hổng "làm tròn toán học" trong hợp đồng thông minh của KyberSwap, tận dụng sai số trong phép tính để vượt qua giới hạn giao dịch và rút tiền.
Sau khi chiếm đoạt tài sản, Medjedovic đã thực hiện nhiều giao dịch phức tạp nhằm xóa dấu vết, bao gồm hoán đổi tiền số trên các sàn giao dịch, sử dụng máy trộn (mixing service) để che giấu nguồn gốc. Y thậm chí còn yêu cầu kiểm soát Kyber Network nếu muốn nhận lại một phần tiền, dẫn đến cáo buộc thêm về hành vi tống tiền.
 |
| Hình ảnh minh họa, nguồn: Internet |
Kyber Network khẳng định không liên quan, đã bồi thường thiệt hại
Ngay sau khi DOJ công bố thông tin về vụ án, ông Trần Huy Vũ, CEO và đồng sáng lập Kyber Network, lên tiếng bác bỏ những tin đồn vô căn cứ về việc Kyber "tự hack" để trục lợi. Ông nhấn mạnh:
"Những tin đồn sai lệch đã gây ảnh hưởng tiêu cực đến cộng đồng và danh tiếng Kyber, cũng như cộng đồng blockchain Việt Nam. Chúng tôi cảm ơn sự phối hợp điều tra truy vết của các tổ chức trong và ngoài nước, đơn vị công nghệ, pháp lý, cơ quan thực thi pháp luật. Đặc biệt, Hiệp hội Blockchain Việt Nam là đơn vị đã phối hợp điều tra cũng như cung cấp các thông tin chính xác tới cộng đồng", ông Trần Huy Vũ nhấn mạnh.
Kyber Network cũng khẳng định đã nỗ lực khắc phục hậu quả. Nền tảng này đã hoàn tất việc bồi thường toàn bộ thiệt hại cho người dùng bị ảnh hưởng.
Tuy nhiên, hậu quả vụ tấn công vẫn rất lớn. Cuối năm 2023, Kyber Network buộc phải tái cơ cấu, cắt giảm 50% nhân sự và đóng cửa nền tảng KyberSwap Elastic để đảm bảo an toàn.
Theo ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam, vụ hack này là bài học lớn cho các doanh nghiệp công nghệ trong việc bảo vệ hợp đồng thông minh và hệ sinh thái tài chính phi tập trung.
Bộ Tư pháp Mỹ nhấn mạnh rằng, dù Medjedovic đã thực hiện các thủ đoạn tinh vi để che giấu danh tính, các điều tra viên vẫn truy vết thành công và đang truy nã y. Với các tội danh bị cáo buộc, hacker Canada có thể phải đối mặt với án tù lên đến 20 năm.
