Hacker "thiên tài" đứng sau vụ cướp 48 triệu USD từ dự án blockchain Việt

Năm 2021, một cuộc điều tra đã phát hiện danh tính của một thiên tài toán học đứng sau một vụ hack tiền điện tử. Người này, tự nhận có niềm đam mê rất lớn với tiền số, đó chính là Andean Medjedovic.

Tuệ Minh 07/02/2025 15:29

Mới đây, Andean Medjedovic, 22 tuổi, quốc tịch Canada bị cáo buộc lợi dụng lỗ hổng của hai nền tảng tài chính phi tập trung (DeFi) là KyberSwap và Indexed Finance để chiếm đoạt số tiền khoảng 65 triệu USD.

Vụ việc đã xảy ra từ năm 2021 đến năm 2023 và được biết đến rộng rãi khi các cáo buộc của Bộ Tư pháp Mỹ được công khai. Nhưng cái tên Andean Medjedovic, không xa lạ gì với cộng đồng blockchain, ngược lại đây là một người rất nổi tiếng. Cách đây 4 năm, lúc đó Andy (tên thường gọi của Medjedovic) mới chỉ 18 tuổi đã được biết đến như là "thần đồng toán học".

Từ thần đồng đến thiên tài

Thời điểm đó, Medjedovic đã là Thạc sĩ chuyên ngành toán học tại Đại học Waterloo ở Ontario, Canada. Hiện tại, khi cách thức của sau vụ hack vào hai nền tảng blockchain đã nêu được công khai cho thấy, người này xứng danh là thiên tài toán học.

Medjedovic năm 13 tuổi đã được biết đến như là một thần đồng toán học. Từng dẫn đầu giải cơ vua lứa tuổi của mình năm 2016. Ảnh: Indian Times

Theo Tạp chí CoinTimes, Medjedovic, sinh ra tại Waterloo, Canada, cực kỳ thông minh, đặc biệt với môn toán, khi luôn đạt điểm tuyệt đối trong các bài kiểm tra toán ở trường tiểu học.

Năm 14 tuổi, Medjedovic tốt nghiệp trung học, sau đó thi vào khoa toán tại Đại học Waterloo, ngôi trường nhà đồng sáng lập Ethereum Vitalik Buterin cũng từng theo học.

Thần đồng này kết thúc chương trình đại học chỉ sau ba năm, ở tuổi 17. Tại đây, Medjedovic được bạn bè gọi là "nhà toán học đáng nể". Medjedovic tiếp tục thể hiện khả năng học tập xuất sắc khi trong một năm đã lấy được bằng thạc sĩ với luận án được hội đồng đánh giá cao.

Medjedovic (ngoài cùng bên phải) cùng nhóm giành giải nhất tại Cuộc thi lập trình của Tổ chức máy tính giáo dục Ontario (ECOO) năm 2017. Ảnh: HWDSB

Đam mê tiền số và bảo mật

Trong quá trình học, Medjedovic cũng phát triển kỹ năng lập trình, thường xuyên tham gia cuộc thi Code4rena và giành hai giải thưởng vì tìm ra lỗ hổng bảo mật trong hệ thống của một công ty.

Cũng không hiểu lý do gì thời điểm đó "thần đồng" này không được tuyển dụng làm việc. Cuộc thi Code4rena vốn dĩ nổi tiếng với việc tìm ra các lập trình viên siêu đẳng và kết nối họ với các nhà tuyển dụng. Từ đó, họ tạo ramột hệ thống bảo mật minh bạch cho hoạt động tài chính trên nền tảng web.

Medjedovic sở hữu bộ óc quái kiệt ,17 tuổi đã hoàn thành chương trình Đại học và chỉ hơn 1 năm sau hoàn thành thạc sĩ toán học.

DeFi (tài chính phi tập trung dựa trên blockchain) cũng là lĩnh vực Medjedovic cực kỳ quan tâm. Đặc biệt, ở mảng nhà tạo lập thị trường tự động (AMM).

Medjedovic từng nói khi trả lời phỏng vấn Bloomberg: "Bất cứ khi nào nghe về một loại sản phẩm DeFi mới, tôi sẽ xem xét kỹ cách thức hoạt động của nó và đầu tư vào đó nếu tôi nghĩ ra một ý tưởng hay".

Những cách tấn công "out trình"

Và trên thực tế, Medjedovic nghiên cứu rất kỹ cách thức các nền tảng này hoạt động để tìm cách thao túng nó. Điều này chủ yếu dựa trên kiến thức toán học siêu việt của mình.

Medjedovic từng tuyên bố "code là luật", khi một nền tảng hoạt động với những lỗ hổng có thể bị khai thác thì họ "đã thua" và phải chấp nhận nó.

Nó được chứng minh qua cách thức mà thiên tài này "cuỗm" sạch tiền của người dùng ở các nền tảng.

Vào ngày 14 tháng 10 năm 2021 tại Anh, nền tảng tiền điện tử Indexed Finance đã bị tấn công. Nền tảng này đã bị lừa định giá thấp nghiêm trọng các token thuộc về người dùng và bán chúng cho Medjedovic với giá cực thấp.

Kẻ tấn công, tức Medjedovic, đã thực hiện một cuộc tấn công cho vay nhanh phức tạp để khai thác logic chức năng của một trong những hợp đồng thông minh của dự án .

Medjedovic tấn công mã hợp đồng thông minh quản lý cách các nhóm tính toán giá trị của tài sản được ký gửi. Bằng cách bơm tài sản được cho vay nhanh vào các nhóm để đổi lấy mã thông báo UNI, qua đó đã lừa được thuật toán tính toán giá trị của nhóm thấp hơn nhiều so với giá trị thực tế.

Điều này cho phép tạo ra một lượng lớn mã thông báo chỉ số của nhóm sau đó bị hủy để yêu cầu các tài sản cơ bản. Sau khi trả hết các khoản vay chớp nhoáng ban đầu, Medjedovic đã bỏ túi 16,5 triệu USD.

Còn đối với vụ hack nền tảng blockchain do người Việt sáng lập mới đây, Medjedovic còn lập nên một kế hoạch siêu việt hơn nữa. Bằng kế hoạch này, nền tảng KyberSwap do Trần Huy Vũ đồng sáng lập đã bị hack hơn 48 triệu USD.

Kế hoạch này đòi hỏi một nền tảng kiến thức phức tạp đến nỗi nhiều người không thể hình dung. Nó chỉ được hé lộ phần nào thông qua các cáo buộc của Bộ Tư pháp Mỹ. Các văn bản này ghi nhận đây là "cuộc tấn công phức tạp nhất trong lịch sử DeFi".

Theo đó, thiên tài này vạch kế hoạch kỹ lưỡng đến mức sử dụng các yếu tố về giờ giấc của CEO và người dùng khu vực Mỹ, châu Âu, sau đó chọn ra khung giờ ít người hoạt động để dễ dàng thực hiện việc thao túng.

Đáng nể nhất là Medjedovic khai thác một lỗ hổng "làm tròn toán học" rất sâu trong hợp đồng thông minh của KyberSwap và tính toán giá trị giao dịch có thể khiến nền tảng trục trặc.

Ví dụ công cụ giới hạn số token hoán đổi là 1.056.056.735.638.220.800.000. Hacker đặt lệnh hoán đổi 1.056.056.735.638.220.799.999 nằm trong giới hạn, nhưng việc làm tròn số đã khiến một số hàm hoạt động không chính xác như thiết lập ban đầu, tạo lỗ hổng để có thể khai thác.

Một bộ óc có thể tính toán dãy số có đến 21 chữ số và tìm thấy sự sai lệch do các phép tính từ những con số này chỉ có thể được mô tả là "quái kiệt".

Medjedovic được cho là đang trong quá trình nộp đơn xin học chương trình tiến sĩ vào năm 2021 khi bị truy nã.

Muốn là Hacker mũ trắng

Ban đầu, rõ ràng Medjedovic có ý định tiếp cận thân thiện để giúp những người quản trị của nền tảng loại bỏ lổ hổng, nhưng có vẻ như lời đề nghị này không được xem xét nghiêm túc. Và sau đó, Medjedovic đã xóa lịch trò chuyện giữa anh ta và quản trị viên, đổi tên người dùng trước khi thực sự tấn công.

Các bên liên quan đến nền tảng này thừa nhận cách thức tấn công "thiên tài" này và ghi lại như một bài học đắt giá. Họ cố gắng dùng các khoản thưởng để hy vọng Medjedovic trả lại số token đã đánh cắp nhưng anh ta đã không làm vậy và sau đó đối mặt với cáo buộc của cơ quan chức năng.

Medjedovic năm 2021 chấp nhận cuộc sống như một kẻ trốn chạy nhưng vẫn không ngừng nghiên cứu các thuật toán về tiền số. Ảnh: Bloomberg

Trả lời phỏng vấn về vụ hack, Medjedovic nói rằng: "Ban đầu, khi đọc mã nguồn của Indexed Finance tôi đã tính toán được nó có cơ hội cho một cách định giá sai. Tôi đã không tin và viết thuật toán để thử, và nó thành công".

Đây cũng là lúc anh thông liên lạc với quản trị viên để đề nghị viết giúp họ một công cụ quản lý nền tảng. Đồng thời với quá trình chờ phản hồi kéo dài vài tháng, thì Medjedovic cũng viết ra một tập lệnh thực thi để cho thấy rằng mình đã đúng. Kết quả là 16,5 triệu USD đã bị lấy đi và không bao giờ được trả lại.

Năm 2023, Medjedovic xác nhận "sống cuộc sống của kẻ chạy trốn" trong hơn một năm, di chuyển qua châu Âu, Nam Mỹ và ở một hòn đảo bí mật. "Sớm thôi, tôi sẽ tìm được một nơi để làm căn cứ cho mình. Cứ di chuyển liên tục như vậy thật mệt mỏi", Medjedovic nói.

Bên cạnh đó, người này nói thêm rằng anh ta "đang làm việc tốt" khi chuyển từ hacker mũ đen sang mũ trắng. "Ai đó có thể tìm thấy tôi trên bảng xếp hạng của Immunefi", Medjedovic cho biết, nhắc đến Immunefi - nền tảng nơi người dùng chia sẻ các phát hiện lỗ hổng để ngăn chặn cuộc tấn công của tin tặc.

* Kỳ sau: Tranh cãi "Code là luật" được dùng biện hộ hacker Andean Medjedovic