Tin tặc 22 tuổi đánh cắp 48 triệu USD từ dự án Blockchain Việt

Andean Medjedovic, công dân 22 tuổi từ Canada, bị cáo buộc đứng sau vụ tấn công đánh cắp hơn 48 triệu USD từ người dùng KyberSwap, một dự án tiền mã hóa của Việt Nam.

Vụ tấn công xảy ra từ năm 2023 và thông tin về tin tặc được Bộ Tư pháp Mỹ (DOJ) công bố ngày 3/2/2025 trên website và tại tòa án liên bang ở New York. Nam thanh niên Medjedovic bị cáo buộc lợi dụng lỗ hổng của hai nền tảng tài chính phi tập trung (DeFi) là KyberSwap và Indexed Finance để chiếm đoạt số tiền khoảng 65 triệu USD. Trong đó, khoản đánh cắp từ KyberSwap là 48,4 triệu USD.

Trước thời điểm bị tấn công, KyberSwap là một trong những nền tảng lớn về giao dịch phi tập trung, với khối lượng đạt tương đương 4,4 tỷ USD, phục vụ hơn 900.000 người dùng toàn cầu. Sự cố diễn ra ngày 26/11/2023, được ví như "cuộc tấn công phức tạp nhất trong lịch sử DeFi" khi kẻ tấn công khai thác lỗ hổng trong hợp đồng thông minh của KyberSwap và thực hiện nhiều lần để chiếm số tiền trên.

KyberSwap vốn là nền tảng cho phép hoán đổi qua lại giữa các đồng tiền số, vì vậy cần dự trữ một lượng tiền số nhất định trong các bể thanh khoản (liquidity pool), được huy động từ người dùng. Họ cũng xây dựng cơ chế để khớp lệnh khi giá đưa ra phù hợp và có lợi cho người dùng nhất.

Medjedovic đã tấn công với các bước chính như vay tiền từ các công cụ cho vay chớp nhoáng (flash loan); đưa số tiền này vào các nhóm thanh khoản có tên KyberSwap Elastic; thao túng giá và tạo các giao dịch hoán đổi được tính toán kỹ để khai thác lỗ hổng, khiến công cụ tính toán sai thanh khoản khả dụng. Từ đó, tin tặc này có thể rút được nhiều hơn số tiền đã gửi vào.

Theo cáo trạng, kế hoạch được Medjedovic vạch ra kỹ lưỡng từ trước, thậm chí cả việc nghiên cứu về giờ giấc của CEO và người dùng khu vực Mỹ, châu Âu, sau đó chọn ra khung giờ ít người hoạt động để dễ dàng thực hiện việc thao túng.

Ngoài ra, Medjedovic cũng khai thác một lỗ hổng khác trong hợp đồng thông minh của KyberSwap và tính toán giá trị giao dịch có thể khiến nền tảng trục trặc. Ví dụ công cụ giới hạn số token hoán đổi là 1.056.056.735.638.220.800.000. Tin tặc này đặt lệnh hoán đổi 1.056.056.735.638.220.799.999 nằm trong giới hạn, nhưng việc làm tròn số đã khiến một số hàm hoạt động không chính xác như thiết lập ban đầu, tạo lỗ hổng để có thể khai thác.

Cáo trạng cho biết Medjedovic đã thực hiện với 77 bể thanh khoản của KyberSwap và lấy đi số tiền 48,4 triệu USD. Khoản này sau đó được phát hiện đưa lên một số sàn để hoán đổi nhiều lần, đưa qua máy trộn, nhằm xóa nguồn gốc.

Ngoài ra, tin tặc đến từ Canada nhiều lần gửi thông điệp đòi kiểm soát công ty nếu muốn trả lại một phần tiền. Do đó, Medjedovic bị cáo buộc thêm tội danh tống tiền, bên cạnh âm mưu rửa tiền và phá hoại trái phép hệ thống máy tính, với mức án có thể 10-20 năm tù cho mỗi tội danh.

"Đây là vụ lừa đảo tinh vi, khai thác lỗ hổng trong hợp đồng thông minh dẫn đến việc đánh cắp hàng triệu USD tiền điện tử", đặc vụ phụ trách Chavis nhận định. DOJ cũng cho biết trong quá trình đưa tiền số vào máy trộn tiền mã hóa, Medjedovic gặp sự cố và đã liên hệ với "một nhà phát triển phần mềm" để được hỗ trợ, nhưng thực tế đó là một điều tra viên đóng giả.