Bộ Tư pháp Mỹ (DOJ) vừa công bố thông tin về vụ hack vào KyberSwap – nền tảng hoán đổi tiền số từ dự án blockchain Việt Nam Kyber Network. Theo cáo trạng, thủ phạm là Andean Medjedovic (22 tuổi, người Canada), bị cáo buộc chiếm đoạt 48,4 triệu USD của người dùng thông qua khai thác lỗ hổng hợp đồng thông minh. Sự việc xảy ra vào ngày 26/11/2023, được mô tả là “cuộc tấn công phức tạp nhất lịch sử DeFi” theo đánh giá nội bộ.
Lỗ hổng “làm tròn” trong hợp đồng thông minh
Với tư cách một nền tảng DeFi, KyberSwap dự trữ một lượng tiền số trong các bể thanh khoản (liquidity pool) để người dùng hoán đổi token. Báo cáo cho biết hacker đã vay tiền từ một công cụ “cho vay chớp nhoáng” (flash loan), bơm vốn vào các bể thanh khoản KyberSwap Elastic, rồi khéo léo thao túng giá. Lỗ hổng chủ chốt nằm ở cơ chế “làm tròn toán học” trong hợp đồng, khiến hệ thống đọc sai dữ liệu và cho phép rút nhiều hơn số tiền nạp vào.
Một ví dụ được nêu trong cáo trạng là khi hacker đặt lệnh hoán đổi token sát giá trị tối đa 1.056.056.735.638.220.800.000, nhưng do làm tròn sai, hợp đồng thông minh không kích hoạt cảnh báo và dẫn đến mất cân đối. Lợi dụng lỗi của KyberSwap, Medjedovic thực hiện liên tiếp 77 giao dịch để lấy đi tổng cộng 48,4 triệu USD.
Phía Kyber Network cho biết nền tảng đã chủ động hoàn tiền cho người dùng vào ngày 2/2, dù chưa thể thu hồi đủ khoản bị hack.
Ngoài tội danh trộm cắp tài sản kỹ thuật số, Medjedovic còn bị cáo buộc hành vi tống tiền. Theo cáo trạng, kẻ này nhiều lần gửi thông điệp yêu cầu công ty Kyber Network trao quyền quản trị để “có thể bàn giao” một phần tiền đánh cắp. Đồng thời, anh ta đưa số tiền đã chiếm được lên các sàn để hoán đổi, sau đó chuyển qua “máy trộn” (mixer) nhằm xóa dấu vết.
Đáng chú ý, trong quá trình này, Medjedovic gặp sự cố và tìm kiếm hỗ trợ từ một “nhà phát triển phần mềm” – thực chất là điều tra viên giả danh. DOJ khẳng định đây là bằng chứng rõ ràng, giúp xác định hành vi rửa tiền và tấn công máy tính trái phép.
Ảnh hưởng đến dự án Kyber Network
Vụ tấn công nghiêm trọng vào KyberSwap không chỉ khiến Kyber Network phải bồi thường hàng chục triệu USD, mà còn tác động trực tiếp đến hoạt động dự án. Cuối năm 2023, Kyber buộc phải tái cơ cấu, cắt giảm 50% nhân viên, đồng thời đóng KyberSwap Elastic để đánh giá lại an toàn.
Đại diện Kyber Network, CEO Trần Huy Vũ, xác nhận hiện vẫn chưa thu hồi được toàn bộ số tiền mất mát, nhưng khẳng định công ty đã “gánh” tổn thất để bảo vệ người dùng. Đây cũng là lời cảnh báo cho các dự án DeFi về mức độ phức tạp trong thiết kế hợp đồng thông minh và sự khôn khéo của giới hacker khi khai thác những lỗ hổng nhỏ nhất.
One thought on “Hacker Canada tấn công KyberSwap, chiếm 48 triệu USD”