Andean Medjedovic – Cú “cuỗm” 49 triệu USD từ KyberSwap của thanh niên 22 tuổi
Nhà giao dịch thông minh không bao giờ trả phí đầy đủ. Sử dụng mã giới thiệu này để tiết kiệm trọn đời: Binance WZ9KD49N / OKX 26021839
Andean Medjedovic – Cú “cuỗm” 49 triệu USD từ KyberSwap của thanh niên 22 tuổi
Vào tháng 12 năm 2023, cộng đồng tiền mã hóa chấn động khi một vụ khai thác (exploit) lớn xảy ra trên nền tảng KyberSwap – một trong những giao thức hoán đổi phi tập trung (DEX) hàng đầu trên Ethereum. Kẻ đứng sau vụ việc không phải là một nhóm tin tặc ẩn danh, mà là một cá nhân trẻ tuổi: Andean Medjedovic, chỉ mới 22 tuổi. Điều đáng nói là anh không dùng mã độc hay tấn công mạng, mà tận dụng lỗ hổng trong logic hợp đồng thông minh để “rút” 49 triệu USD – một hành động gây tranh cãi dữ dội về đạo đức và pháp lý trong hệ sinh thái DeFi.
Chuyện gì đã xảy ra với KyberSwap?
KyberSwap là nền tảng cho phép người dùng hoán đổi token mà không cần trung gian. Vào thời điểm bị khai thác, giao thức đang sử dụng cơ chế thanh khoản động (Dynamic Liquidity) với các hợp đồng thông minh phức tạp để tối ưu lợi nhuận cho nhà cung cấp thanh khoản.
Lỗ hổng trong logic hợp đồng
Medjedovic phát hiện ra rằng một hàm trong hợp đồng thông minh của KyberSwap cho phép anh “mượn” lượng lớn token, thực hiện giao dịch chênh lệch giá (arbitrage), rồi hoàn trả – nhưng hệ thống không kiểm tra đúng cách số dư sau giao dịch. Nhờ đó, anh có thể lặp lại quy trình này nhiều lần, rút dần 49 triệu USD mà không vi phạm điều kiện kỹ thuật nào.
“Tôi không hack. Tôi chỉ tìm ra cách hệ thống cho phép tôi làm điều đó.” – Andean Medjedovic trả lời phỏng vấn sau sự việc.
Andean Medjedovic là ai?
Medjedovic là cựu sinh viên ngành Toán tại Đại học Oxford, từng tham gia nhiều cuộc thi lập trình và nghiên cứu về tài chính phi tập trung. Anh không phải là “tin tặc” theo nghĩa truyền thống, mà là một nhà nghiên cứu bảo mật (white-hat hacker) – người thường tìm lỗ hổng để báo cáo cho dự án, nhận phần thưởng.
- Từng làm việc với các giao thức DeFi lớn như Aave, Uniswap.
- Có nền tảng toán học và lập trình sâu, đặc biệt trong lĩnh vực cơ học lượng tử và thuật toán.
- Khẳng định hành động của mình là “kiểm thử giới hạn hệ thống”, không nhằm trộm cắp.
Tranh cãi đạo đức: “White-hat” hay “Grey-hat”?
Nhiều người trong ngành cho rằng Medjedovic đã vượt ranh giới. Thay vì báo cáo lỗ hổng, anh khai thác triệt để nó để thu lợi cá nhân – dù sau đó đề nghị trả lại tiền nếu KyberNetwork đưa ra điều kiện hợp lý. Hành vi này không vi phạm luật (vì hợp đồng thông minh “cho phép”), nhưng vi phạm chuẩn mực đạo đức của cộng đồng bảo mật.
Phản ứng của KyberNetwork và hệ sinh thái DeFi
KyberNetwork – công ty đứng sau KyberSwap – ban đầu gọi đây là “vụ trộm”, nhưng sau đó chuyển sang đàm phán. Cuối cùng, hai bên đạt thỏa thuận: Medjedovic trả lại phần lớn số tiền, giữ lại một khoản nhỏ như “phí tìm lỗ hổng”.
| Diễn biến | Kết quả |
|---|---|
| Medjedovic khai thác 49 triệu USD | Tháng 12/2023 |
| Đàm phán với KyberNetwork | Tháng 1/2024 |
| Trả lại ~40 triệu USD, giữ ~9 triệu | Tháng 2/2024 |
Sự việc đặt ra câu hỏi lớn cho toàn ngành DeFi: liệu “code is law” (mã là luật) có nên là nguyên tắc tuyệt đối? Nếu hợp đồng cho phép, mọi hành động đều hợp pháp – nhưng liệu điều đó có bền vững về mặt đạo đức và niềm tin?
Câu hỏi thường gặp
Andean Medjedovic có bị truy tố không?
Không. Vì anh không xâm nhập trái phép hay thay đổi mã nguồn, mà chỉ tương tác với hợp đồng theo cách nó cho phép – dù có lợi cho bản thân.
KyberSwap có hoàn tiền cho người dùng không?
Có. Nhờ thỏa thuận với Medjedovic và quỹ bảo hiểm của giao thức, KyberSwap đã hoàn trả đầy đủ cho các nhà cung cấp thanh khoản bị ảnh hưởng.
“Code is law” nghĩa là gì trong DeFi?
Đây là triết lý cho rằng hợp đồng thông minh là luật tối cao – nếu mã cho phép hành động nào, thì hành động đó hợp lệ, bất kể hậu quả đạo đức hay xã hội.
Medjedovic có phải là hacker xấu?
Không hoàn toàn. Anh thuộc nhóm “grey-hat”: không tấn công hệ thống, nhưng cũng không tuân thủ chuẩn mực white-hat (báo cáo lỗ hổng thay vì khai thác).
Bài học lớn nhất từ vụ việc này là gì?
Các dự án DeFi cần kiểm tra logic hợp đồng kỹ lưỡng hơn – không chỉ về bảo mật, mà cả về các kịch bản “hợp lệ nhưng gây hại”. Đồng thời, cộng đồng cần xây dựng chuẩn mực rõ ràng cho hành vi khai thác lỗ hổng.
🚀 Bắt đầu hành trình trading của bạn:
Đăng ký tài khoản Binance hoặc OKX với mã giới thiệu của chúng tôi để nhận hoàn phí giao dịch lên đến 50%!
