Mới đây, Andean Medjedovic (22 tuổi, quốc tịch Canada) đã bị khởi tố với nhiều tội danh, bao gồm gian lận chuyển tiền, hack máy tính và tống tiền.

Theo cáo trạng, Medjedovic bị cáo buộc lợi dụng lỗ hổng của hai nền tảng tài chính phi tập trung (DeFi) là KyberSwap và Indexed Finance để chiếm đoạt số tiền khoảng 65 triệu USD. Trong đó, khoản đánh cắp từ KyberSwap là 48,4 triệu USD.

KyberSwap là dự án blockchain do người Việt Nam sáng lập và làm chủ công nghệ. Công ty được thành lập năm 2017 bởi ông Lưu Lợi và Trần Huy Vũ. Giao thức Kyber Network phát triển các giải pháp tài chính phi tập trung (DeFi) nhằm cung cấp thanh khoản và giao dịch tài sản mã hóa.

Đại diện Kyber Network cho biết hiện đơn vị này vẫn chưa thu hồi lại được toàn bộ tiền bị đánh cắp từ hacker. Tuy nhiên, nền tảng cũng đã chủ động hoàn thành việc đền bù cho toàn bộ người dùng ngày 2/2.

Ngoài ra, hacker từ Canada nhiều lần gửi thông điệp đòi kiểm soát Kyber Network nếu muốn trả lại một phần tiền. Do đó, Medjedovic bị cáo buộc thêm tội danh tống tiền, bên cạnh âm mưu rửa tiền và phá hoại trái phép hệ thống máy tính, với mức án có thể 10-20 năm tù cho mỗi tội danh.

Hiện tại, Medjedovic vẫn đang lẩn trốn và chịu sự truy đuổi của các nhà chức trách ở cả Mỹ và Canada.

Cách Medjedovic lấy tiền từ KyberSwap

KyberSwap cho phép người dùng trao đổi các đồng tiền số, đồng thời huy động nguồn tài chính từ cộng đồng vào các "bể thanh khoản" (liquidity pool). Nhờ đó, hệ thống này có sẵn một khoản token để mọi người có thể hoán đổi bất cứ lúc nào. Lợi dụng lỗ hổng trong hợp đồng thông minh (smart contract) của KyberSwap, Medjedovic đã tạm vay vốn lớn bằng các công cụ "cho vay chớp nhoáng" (flash loan) và đưa số tiền này vào các bể thanh khoản.

Sau đó, Medjedovic thao túng giá, đặt lệnh giao dịch được tính toán chi li để đánh lừa hệ thống, khiến phần mềm tính toán sai và cho phép hacker rút nhiều tài sản hơn số đã nạp vào.

Đây là lỗ hổng liên quan đến "làm tròn toán học" (rounding error) trong các bước tính toán. Ví dụ số token hoán đổi được giới hạn là 1.056.056.735.638.220.800.000 thì tin tặc đặt lệnh 1.056.056.735.638.220.799.999 (chỉ kém 1 đơn vị) - vẫn nằm trong giới hạn nhưng quy tắc làm tròn số đã khiến một số hàm hoạt động không chính xác như thiết kế, từ đó phát sinh lỗ hổng có thể bị khai thác.

Theo cáo trạng, Medjedovic đã thực hiện 77 lượt giao dịch kiểu này, chiếm tổng cộng 48,4 triệu USD từ ví của người dùng. Hacker này sau đó dùng nhiều thủ thuật để xóa dấu vết.