
Nirvana Finance khởi động lại: Làm thế nào mà tin tặc đầu tiên trong lịch sử bị kết án vì tấn công hợp đồng thông minh đã bị bắt?
Tuyển chọn TechFlowTuyển chọn TechFlow

Nirvana Finance khởi động lại: Làm thế nào mà tin tặc đầu tiên trong lịch sử bị kết án vì tấn công hợp đồng thông minh đã bị bắt?
Đối với các nhà phát triển DApp, an toàn vốn luôn là một khía cạnh cần được xem xét kỹ lưỡng.
Tác giả: @Web3Mario
Tóm tắt: Tuần trước có rất nhiều sự kiện lớn, Cục Dự trữ Liên bang Mỹ (Fed) đã cắt giảm lãi suất khá mạnh tay với 50 điểm cơ bản, trong khi Ngân hàng Trung ương Nhật Bản giữ nguyên lãi suất. Điều này ít nhiều cho thấy rằng trong vài tuần tới sẽ không có thông tin tiêu cực quá mức nào xuất hiện. Hiện đã có nhiều bài phân tích về vấn đề này nên ở đây tôi sẽ không đi sâu. Trong bối cảnh đó, chỉ cần theo dõi hai yếu tố chính là: liệu thị trường lao động có phục hồi như kỳ vọng hay không, và rủi ro lạm phát quay trở lại. Ngoài ra, có một tin nhanh thu hút sự chú ý của tôi – dự án stablecoin thuật toán Nirvana Finance trên Solana tuyên bố khởi động lại phiên bản V2. Dự án này từng bị tấn công vào tháng 7/2022, khiến 3,5 triệu USD bị đánh cắp và sau đó phải ngừng hoạt động. Tôi nhớ trước đây đã từng đọc được thông tin hacker thực hiện vụ tấn công đã bị kết án, và việc gần đây dự án có thể khởi động lại cho thấy các cơ quan tư pháp có lẽ đã hoàn tất việc chuyển trả tài sản bị đánh cắp. Điều này đồng nghĩa với việc vụ việc có thể được xem là vụ án đầu tiên tại Mỹ mà một cá nhân bị kết tội vì tấn công hợp đồng thông minh, mang tính biểu tượng đối với hệ thống luật thông lệ. Từ đây trở đi, quy trình xử lý các vụ án tương tự dự kiến sẽ được cải thiện đáng kể. Vì vậy, cuối tuần qua tôi đã dành thời gian để tổng hợp chi tiết toàn bộ diễn biến vụ án, chia sẻ cùng mọi người.
Bối cảnh vụ tấn công闪电贷 vào Nirvana Finance
Không biết có bao nhiêu bạn đọc hiểu rõ về dự án này, ở đây tôi xin sơ lược lại bối cảnh sự việc. Trước hết, Nirvana Finance là một dự án stablecoin thuật toán trên mạng Solana – chi tiết sâu hơn xin phép không trình bày ở đây. Dự án khởi động vào đầu năm 2022 và bị tấn công vào ngày 28/7/2022, khi hacker đã rút toàn bộ tài sản thế chấp của stablecoin NIRV trong giao thức, trị giá khoảng 3,5 triệu USD. Chi tiết vụ tấn công cũng rất thú vị: dù hợp đồng của dự án không mở mã nguồn, nhưng hacker vẫn tận dụng được chức năng vay chớp nhoáng (flash loan) từ Solend để trục lợi. Thời điểm đó, đội ngũ dự án thậm chí còn phải đối mặt với cáo buộc "tự ăn trộm chính mình".

Hơn nữa, trước khi bị tấn công, dự án tuyên bố đã hoàn thành “kiểm toán tự động”, nhưng thực tế điều này không hiệu quả. Trong cuộc phỏng vấn với Cointelegraph sau đó, đồng sáng lập Alex Hoffman cho biết trong chính tuần xảy ra vụ tấn công, nhóm mới vừa bắt đầu tiến hành kiểm toán. Ông nói thêm rằng ban đầu khi phát triển, ông không ngờ Nirvana Finance lại thu hút được sự chú ý lớn đến vậy, đặc biệt sau khi được một số phương tiện truyền thông Trung Quốc đưa tin, khiến TVL tăng vọt. Điều này cũng dễ hiểu, bởi thời điểm đó là giai đoạn đỉnh cao của Luna, và mảng stablecoin thuật toán tự nhiên nhận được sự quan tâm rộng rãi. Sau khi dự án khởi chạy thành công, CEO của Solana lúc bấy giờ là Anatoly Yakovenko đã trực tiếp thúc giục ông tiến hành kiểm toán hợp đồng thông minh và cố gắng đẩy nhanh lịch trình tại các công ty kiểm toán.
Sau khi tài sản thế chấp bị đánh cắp, dự án rơi vào đình trệ, tuy nhiên cộng đồng Discord của nó vẫn luôn được nhân viên chính thức duy trì. Trong suốt thời gian này, cộng đồng liên tục theo dõi dòng tiền bị đánh cắp, nhưng do hacker cuối cùng đã sử dụng Tornado Cash và Monero để che giấu dấu vết, việc truy tìm gần như không thu được kết quả. Tình thế thay đổi vào ngày 14/12/2023, khi một kỹ sư an ninh phần mềm cấp cao từng làm việc tại Amazon, tên là Shakeeb Ahmed, thừa nhận tại Tòa án Quận Nam New York một cáo buộc gian lận máy tính liên quan đến vụ tấn công Nirvana Finance và một sàn giao dịch tiền mã hóa phi tập trung chưa được nêu tên. Văn phòng Công tố viên Hoa Kỳ cũng khẳng định đây là vụ án đầu tiên trong lịch sử có người bị kết tội vì tấn công hợp đồng thông minh.

Dĩ nhiên, sau khi dự án bị tấn công, người sáng lập không dừng lại, mà chuyển sang phát triển các dự án khác như Superposition Finance và Concordia Systems. Đây cũng là một lợi ích của việc duy trì mức độ ẩn danh nhất định – ít nhất là tránh được FUD lan rộng. Sau đó, vào ngày 15/4/2024, vụ án chính thức tuyên án: Shakeeb Ahmed bị tuyên phạt ba năm tù giam vì xâm nhập và lừa đảo hai sàn giao dịch tiền mã hóa. Đến ngày 6/6, số tiền bị đánh cắp đã được chuyển trở lại tài khoản do nhóm chỉ định, đánh dấu việc chính thức thu hồi thành công toàn bộ tài sản.

Thực tế, nguồn gốc vụ án bắt đầu từ Crema Finance, còn Nirvana Finance chỉ bị xác định sau khi hacker khai báo
Thực tế, Shakeeb Ahmed – kỹ sư an ninh phần mềm 34 tuổi vào thời điểm đó – khi thực hiện vụ tấn công đang làm việc tại một công ty công nghệ quốc tế với vai trò kỹ sư an ninh cấp cao, chuyên về kiểm toán hợp đồng thông minh và blockchain. Ông ta thành thạo kỹ thuật đảo ngược phần mềm (reverse engineering), điều này giải thích vì sao Nirvana Finance dù chưa công khai mã nguồn vẫn bị tấn công. Reverse engineering là việc dùng các công cụ decompile để chuyển đổi mã nhị phân đã được biên dịch trở lại thành ngôn ngữ cấp cao dễ đọc hơn. Dù hợp đồng chưa mở mã, nhưng thực tế toàn bộ bytecode đều lưu trữ trên chuỗi, nên các lập trình viên giỏi về kỹ thuật này hoàn toàn có thể truy xuất dễ dàng.
Theo tài liệu công bố sau này của Bộ Tư pháp Hoa Kỳ, điểm khởi đầu của toàn bộ vụ án là một sàn giao dịch phi tập trung bị tấn công vào tháng 7/2022 và thiệt hại khoảng 9 triệu USD – qua so sánh có thể xác định là Crema Finance. Vào ngày 4/7/2022, Shakeeb Ahmed cũng đã sử dụng tấn công flash loan nhằm vào nền tảng này, đồng thời đề nghị 2,5 triệu USD dưới dạng "thưởng mũ trắng" để chuộc lại tài sản cho người dùng khác và từ bỏ truy tố. Cuối cùng, Crema Finance tuyên bố đồng ý chấp nhận khoản thưởng mũ trắng khoảng 1,68 triệu USD.
Theo mô tả trong tài liệu, Nirvana Finance chỉ được xác định sau khi hacker bị bắt và khai báo. Bằng chứng kết tội Shakeeb Ahmed không chỉ bao gồm việc phục hồi lịch sử duyệt web từ máy tính cá nhân, tìm thấy các nội dung liên quan, mà còn mô tả việc hắn sử dụng nhiều phương pháp che giấu dòng tiền như các giao thức trộn tiền (mixer), Tornado Cash và Monero. Vậy thì câu hỏi đặt ra là: điều gì đã khiến Shakeeb Ahmed cuối cùng bị bắt?
Câu trả lời có thể nằm ở hai khả năng. Thứ nhất, theo phân tích của SolanaFM tại thời điểm xảy ra vụ tấn công, địa chỉ tấn công đã từng tương tác với sàn giao dịch Huobi hoặc các địa chỉ sàn con liên kết với Huobi, vì nguồn vốn ban đầu của địa chỉ tấn công xuất phát từ đây. Thứ hai là sai lầm trong việc sử dụng Tornado Cash: khả năng che giấu dòng tiền của Tornado Cash phụ thuộc vào thời gian gửi tiền và lượng giao dịch rút tiền trong khoảng thời gian đó – chỉ khi gửi đủ lâu và có nhiều giao dịch rút tiền diễn ra, mức độ ẩn danh mới cao. Tuy nhiên, ngay sau khi vụ tấn công xảy ra, Ahmed gửi tiền vào Tornado Cash và trong thời gian rất ngắn đã có giao dịch rút tiền xảy ra, và số tiền này cuối cùng đã đi vào sàn giao dịch tập trung Gemini. Điều này dường như cho thấy cơ quan tư pháp đã phối hợp với các sàn giao dịch tập trung nêu trên để xác định danh tính Shakeeb Ahmed và bắt giữ hắn tại New York.
Dù bằng cách nào, việc thu hồi được tài sản bị đánh cắp là một tín hiệu tích cực, và sự việc cũng phản ánh hai vấn đề: thứ nhất, an toàn vốn là yếu tố bắt buộc phải cân nhắc nghiêm túc đối với các nhà phát triển DApp; thứ hai, từ đây đã hình thành tiền lệ xử lý cho các vụ án tương tự, tạo ra tác dụng răn đe nhất định đối với các hành vi vi phạm trong tương lai.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














