Bộ Tư pháp Mỹ (DOJ) vừa công bố chi tiết vụ tấn công vào KyberSwap – một nền tảng tài chính phi tập trung (DeFi) thuộc dự án Kyber Network do người Việt phát triển. Theo đó, Andean Medjedovic (22 tuổi) quốc tịch Canada bị cáo buộc là kẻ đứng sau vụ hack xảy ra cuối năm 2023, khiến người dùng KyberSwap mất 48,4 triệu USD.
Cách thức tấn công của tin tặc
KyberSwap cho phép người dùng trao đổi các đồng tiền số, đồng thời huy động nguồn tài chính từ cộng đồng vào các “bể thanh khoản” (liquidity pool). Nhờ đó, hệ thống này có sẵn một khoản token để mọi người có thể hoán đổi bất cứ lúc nào. Lợi dụng lỗ hổng trong hợp đồng thông minh (smart contract) của KyberSwap, hacker đã tạm vay vốn lớn bằng các công cụ “cho vay chớp nhoáng” (flash loan) và đưa số tiền này vào các bể thanh khoản.
Sau đó, hắn thao túng giá, đặt lệnh giao dịch được tính toán chi li để đánh lừa hệ thống, khiến phần mềm tính toán sai và cho phép hacker rút nhiều tài sản hơn số đã nạp vào.
Vụ khai thác lỗ hổng khiến người dùng KyberSwap mất 48,4 triệu USD
Trong cáo trạng, DOJ mô tả đây là lỗ hổng liên quan đến “làm tròn toán học” (rounding error) trong các bước tính toán. Ví dụ số token hoán đổi được giới hạn là 1.056.056.735.638.220.800.000 thì tin tặc đặt lệnh 1.056.056.735.638.220.799.999 (chỉ kém 1 đơn vị) – vẫn nằm trong giới hạn nhưng quy tắc làm tròn số đã khiến một số hàm hoạt động không chính xác như thiết kế, từ đó phát sinh lỗ hổng có thể bị khai thác.
Medjedovic đã thực hiện 77 lượt giao dịch kiểu này, chiếm tổng cộng 48,4 triệu USD từ ví của người dùng. Medjedovic sau đó dùng nhiều thủ thuật để xóa dấu vết như chuyển tiền sang các sàn khác nhau hoặc đưa vào công cụ máy trộn token (mixer).
Ngoài tội danh xâm phạm tài sản, Medjedovic còn bị cáo buộc tống tiền khi gửi thông điệp yêu cầu Kyber Network trao cho mình quyền kiểm soát một phần công ty để đổi lấy việc hoàn trả một số tài sản đánh cắp. Tin tặc 22 tuổi cũng tự tin nghĩ rằng đã qua mặt thành công các nhà điều tra. Tuy nhiên, khi gặp trục trặc với công cụ xóa dấu vết, Medjedovic liên hệ “một nhà phát triển phần mềm” để nhờ giúp đỡ mà không ngờ đây lại là đặc vụ chìm.
Phản ứng từ KyberSwap
Theo CEO Kyber Network Trần Huy Vũ, dù chưa thu hồi hết số tài sản bị mất, công ty đã chủ động chi trả lại cho người dùng. Sự cố nghiêm trọng khiến Kyber Network phải tái cơ cấu cuối năm 2023, cắt giảm 50% nhân sự và tạm đóng chức năng KyberSwap Elastic.
DOJ gọi đây là vụ trộm tinh vi, lợi dụng kẽ hở trong hợp đồng thông minh DeFi. Giới quan sát đánh giá tai nạn này là lời nhắc nhở tất cả dự án DeFi phải liên tục kiểm tra lỗ hổng, thận trọng với những lệnh giao dịch phức tạp và có kế hoạch ứng phó rủi ro. Trong bối cảnh DeFi ngày càng phổ biến, cách mà Medjedovic tấn công cho thấy hacker có thể tìm ra và khai thác ngay cả những lỗi nhỏ nhất trong logic tính toán.
“Ngay cả với sự phức tạp của DeFi, chúng tôi đã lần ra được kẻ chịu trách nhiệm cho vụ trộm quy mô lớn và truy nã”, đại diện Bộ Tư pháp Mỹ khẳng định. Vụ việc được xem như bằng chứng cho thấy, dù kẻ tấn công núp sau nhiều bước che giấu, cơ quan chức năng vẫn có cách lần ra thủ phạm, buộc kẻ gian chịu trách nhiệm trước pháp luật.
Nguồn: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
