Sau vụ trộm hơn 54 triệu USD, KyberSwap phải đối mặt với một cuộc khủng hoảng hiện hữu

Đánh giá từ hầu hết các trường hợp trộm cắp tiền điện tử trước đây, nhóm dự án thường chọn đàm phán với tin tặc trên chuỗi để khôi phục hoặc khôi phục một phần số tiền bị đánh cắp. Các hacker gần đây đã tấn công công cụ tổng hợp DEX KyberSwap đã không tuân theo thói quen, không chỉ chủ động để lại tin nhắn để đàm phán mà còn đề xuất các điều kiện giải quyết như “giành toàn quyền kiểm soát và tất cả tài sản của Kyber”. Điều này cũng khiến thế giới bên ngoài tự hỏi liệu vụ trộm có phải là một bộ phim truyền hình tự đạo diễn và tự dàn dựng của nhóm hay không, nhưng KyberSwap đã phải đối mặt với một thử thách sinh tồn.

** Ít hơn 10% số tiền bị đánh cắp đã được thu hồi, hoặc đây không phải là lần đầu tiên tội phạm được thực hiện **

Vào ngày 23 tháng 11, một số người dùng tiết lộ rằng KyberSwap bị nghi ngờ bị tấn công và đã có những giao dịch chuyển tiền lớn bất thường trên nhiều chuỗi, với tổng thiệt hại khoảng 47 triệu đô la. Trong số đó, Ethereum mất 7,5 triệu đô la trên mạng chính, 315.000 đô la trên chuỗi Cơ sở, 15 triệu đô la trên chuỗi Optimism, 2 triệu đô la trên chuỗi Polygon và 20 triệu đô la trên chuỗi Arbitrum.

Sau đó, Kyber Network thừa nhận rằng một sự cố bảo mật đã xảy ra, nói rằng nhóm đang làm việc chăm chỉ để điều tra tình hình và thường xuyên cập nhật thông tin và khuyên người dùng rút tiền ngay lập tức.

Ngay sau thông báo của Kyber Network, địa chỉ kẻ tấn công đã để lại một tin nhắn trên chuỗi cho các nhà phát triển, nhân viên, thành viên DAO và nhà cung cấp thanh khoản, nói rằng “các cuộc đàm phán sẽ bắt đầu sau một khoảng thời gian nghỉ ngơi tốt trong vài giờ.” Đáp lại, KyberSwap đã công bố thông tin đàm phán cho tin tặc trên chuỗi, nói rằng họ đã biết tin tặc thực hiện cuộc tấn công như thế nào và tin tặc bị giới hạn trong việc trả lại 90% số tiền bị đánh cắp về địa chỉ vào đầu 0x8180 trước 14:00 giờ Bắc Kinh vào ngày 25 tháng 11, nếu không họ sẽ tiếp tục săn lùng tin tặc. Tin tặc có thể để lại 10% số tiền bị đánh cắp dưới dạng tiền thưởng.

Đồng thời, theo Kyber Network, tổng cộng khoảng 54,7 triệu đô la tiền của người dùng đã bị đánh cắp lần này và chỉ có khoảng 4,67 triệu đô la tiền của người dùng đã được thu hồi, ít hơn 10% tổng số tiền bị mất.

Tuy nhiên, kẻ tấn công đã không chấp nhận các điều kiện đàm phán của KyberSwap, nói vài ngày sau đó rằng anh ta đã nhận được (hầu hết) các mối đe dọa, thời hạn và sự không thân thiện chung từ nhóm thực thi, và hứa sẽ đưa ra một tuyên bố vào ngày 30 tháng 11 về một hiệp ước đàm phán (tiềm năng), với điều kiện là không có sự đối xử thù địch nào nữa sẽ được chấp nhận.

Được biết, vụ hack là một trong những cuộc tấn công tinh vi nhất trong lịch sử DeFi và những kẻ tấn công cần thực hiện một loạt các hoạt động on-chain chính xác để khai thác lỗ hổng. Tuy nhiên, đây dường như không phải là lần đầu tiên những kẻ tấn công phạm tội, vì PeckShield đã theo dõi vào ngày 23 tháng 11 và tiết lộ rằng kẻ tấn công Kyber Network đã chuyển 1.000 WETH (2,06 triệu đô la) trên Arbitrum đến một địa chỉ bắt đầu bằng 0x84e6, đã tương tác với địa chỉ của kẻ tấn công 705 ngày trước đó trên giao thức lợi tức thụ động Indexed Finance, đã mất 16 triệu đô la cho cuộc tấn công.

** Tin tặc muốn nắm quyền lực?Lấy quyền kiểm soát công ty và tất cả tài sản làm điều kiện giải quyết **

Vào ngày 30 tháng 11, những kẻ tấn công KyberSwap đã đề xuất một loạt các điều kiện giải quyết trên chuỗi, bao gồm kiểm soát thực thi đầy đủ Kyber Corporation, tạm thời kiểm soát hoàn toàn các cơ chế quản trị của KyberDAO để thực hiện các thay đổi lập pháp và yêu cầu giao nộp tất cả các tài liệu và thông tin liên quan đến công ty / giao thức. Ngoài ra, Kyber được yêu cầu bàn giao tất cả các tài sản trên chuỗi và ngoài chuỗi.

Những kẻ tấn công hứa hẹn một loạt các biện pháp bồi thường cho giám đốc điều hành công ty, nhân viên, chủ sở hữu mã thông báo và nhà đầu tư khi các yêu cầu được đáp ứng. Chúng bao gồm việc mua lại cung cấp cho các giám đốc điều hành định giá hợp lý, tăng gấp đôi lương nhân viên, thôi việc 12 tháng và lợi ích toàn diện cho những nhân viên không muốn ở lại và đảm bảo giá trị mã thông báo của nhà đầu tư. Những kẻ tấn công nhấn mạnh rằng thỏa thuận sẽ bị phá vỡ nếu yêu cầu của họ không được đáp ứng trước ngày 10 tháng Mười Hai hoặc nếu họ được liên lạc bởi bất kỳ đặc vụ nào của một quốc gia có chủ quyền. Và trong bức thư đàm phán này, kẻ tấn công cũng tự nhận mình là giám đốc của Kyber.

Nói cách khác, kẻ tấn công không có ý định trả lại số tiền bị đánh cắp và muốn kiểm soát công ty và tất cả tài sản của công ty, điều chưa từng có trong thế giới hack. Để có được việc chuyển nhượng cổ phần, kẻ tấn công có thể cần phải công chứng việc chuyển thông tin nhận dạng như tên và địa chỉ thực tế, và danh tính của anh ta có thể bị lộ.

Đồng sáng lập và Giám đốc điều hành Kyber Network Victor Tran cũng trả lời trên phương tiện truyền thông xã hội về các điều kiện dàn xếp của những kẻ tấn công, nói rằng, "Không ai quan tâm đến người dùng của Kyber nhiều như chúng tôi. Bạn (người dùng) xứng đáng với điều tốt nhất. Một tuyên bố sẽ được đưa ra trên tài khoản Twitter chính thức của Kyber Network vào ngày 1 tháng Mười Hai. Tính đến thời điểm viết bài này, Kyber Network vẫn chưa cung cấp phản hồi cập nhật.

Động thái của kẻ tấn công đã gây ra các cuộc thảo luận sôi nổi trên thị trường, với một số thành viên cộng đồng nói rằng việc kẻ tấn công chiếm quyền lực không gì khác hơn là một lời hùng biện rằng họ không muốn trả lại số tiền bị đánh cắp, trong khi những người khác tin rằng đó có thể là một mưu đồ “vỏ ve sầu vàng” chính thức, hoặc một cựu nhân viên.

Vì Kyber không có bất kỳ chương trình bảo hiểm nào, nên sẽ không có khoản bồi thường nào sau vụ trộm, điều đó có nghĩa là nếu KyberSwap không thể đạt được thỏa thuận với những kẻ tấn công, người dùng sẽ không thể lấy lại tài sản của họ. Ngay cả khi KyberSwap đồng ý với các điều khoản dàn xếp, giao thức do hacker dẫn đầu sẽ khó lấy lại được lòng tin của người dùng, khiến dự án không bền vững.