Dự án Nirvana Finance trên Solana khởi động lại: Bắt đầu và kết thúc của vụ án kết tội tấn công hợp đồng thông minh đầu tiên

Tuần trước, thị trường tài chính đã chứng kiến một loạt sự kiện quan trọng, trong đó quyết định giảm lãi suất của Cục Dự trữ Liên bang Mỹ và chính sách duy trì của Ngân hàng Trung ương Nhật Bản thu hút sự chú ý. Tuy nhiên, bên ngoài những xu hướng kinh tế vĩ mô này, một thông tin về lĩnh vực tiền điện tử đã thu hút sự quan tâm của các chuyên gia trong ngành. Dự án stablecoin thuật toán Nirvana Finance trong hệ sinh thái Solana đã công bố khởi động lại phiên bản V2, thông tin này ẩn chứa một vụ án tư pháp mang tính lịch sử.

Nirvana Finance đã bị tấn công bởi hacker vào tháng 7 năm 2022, thiệt hại lên tới hơn 3,5 triệu USD. Gần đây, dự án này đã có thể khởi động lại, điều này có nghĩa là các thủ tục tư pháp liên quan đã được hoàn tất và số tiền bị đánh cắp cũng đã được hoàn trả. Sự kiện này được coi là trường hợp đầu tiên ở Mỹ bị kết án do tấn công hợp đồng thông minh, sẽ có tác động sâu rộng đến quy trình xử lý các sự kiện tương tự trong tương lai.

Bối cảnh Nirvana Finance bị tấn công bằng vay chớp nhoáng

Nirvana Finance là một dự án stablecoin thuật toán trên Solana, được ra mắt vào đầu năm 2022. Vào ngày 28 tháng 7, dự án đã bị tấn công bởi hacker, tất cả tài sản thế chấp của stablecoin NIRV đã bị đánh cắp, thiệt hại khoảng 3,5 triệu đô la. Mặc dù hợp đồng của dự án chưa được mã nguồn mở, nhưng kẻ tấn công vẫn có thể tận dụng chức năng vay chớp nhoáng của một nền tảng cho vay để thu lợi, sự thật này đã gây ra một số nghi ngờ về đội ngũ dự án.

Người đồng sáng lập dự án Alex Hoffman cho biết trong cuộc phỏng vấn với truyền thông rằng, trước khi xảy ra cuộc tấn công, đội ngũ vừa mới bắt đầu tiến hành công việc kiểm toán. Ông thừa nhận rằng, trong giai đoạn đầu của dự án, họ không lường trước được sự quan tâm rộng rãi như vậy, cho đến khi một số báo cáo của truyền thông dẫn đến sự gia tăng đáng kể tổng lượng khóa. Lúc đó, Giám đốc điều hành của một chuỗi công khai còn từng đề nghị cá nhân tăng tốc quá trình kiểm toán hợp đồng thông minh.

Sau cuộc tấn công của hacker, dự án Nirvana Finance đã rơi vào tình trạng đình trệ, nhưng cộng đồng của nó vẫn duy trì hoạt động. Mặc dù các thành viên trong cộng đồng liên tục theo dõi dòng chảy của số tiền bị đánh cắp, nhưng do kẻ tấn công sử dụng công cụ trộn tiền và tiền riêng tư, công tác truy vết vẫn chưa đạt được tiến triển đáng kể.

Vụ án đột phá: Hacker đầu tiên bị kết án vì tấn công hợp đồng thông minh

Ngày 14 tháng 12 năm 2023, vụ án đã có bước ngoặt quan trọng. Một người tên là Shakeeb Ahmed, cựu kỹ sư an ninh phần mềm cao cấp của Amazon, đã thừa nhận tại Tòa án quận phía Nam New York về các cáo buộc gian lận máy tính liên quan đến việc Nirvana Finance và một sàn giao dịch phi tập trung khác bị tấn công bởi hacker. Văn phòng công tố viên Hoa Kỳ cho biết đây là vụ án đầu tiên bị kết án do tấn công hợp đồng thông minh.

Vào ngày 15 tháng 4 năm 2024, Shakeeb Ahmed bị tuyên án ba năm tù vì xâm nhập và lừa đảo hai sàn giao dịch tiền điện tử. Vào ngày 6 tháng 6, số tiền bị đánh cắp đã được trả lại vào tài khoản được chỉ định của dự án, đánh dấu sự giải quyết thành công của sự kiện này.

Nguyên nhân sâu xa của vụ án và những bài học

Trên thực tế, nguồn gốc của vụ việc này là cuộc tấn công vào một sàn giao dịch phi tập trung vào ngày 4 tháng 7 năm 2022, gây thiệt hại khoảng 9 triệu đô la. Shakeeb Ahmed đã đưa ra khái niệm "tiền thưởng mũ trắng" trong sự kiện này và cuối cùng đã đạt được thỏa thuận bồi thường với nền tảng.

Vụ án của Nirvana Finance đã được chủ động khai báo sau khi Ahmed bị bắt. Các điều tra viên đã xác định nghi phạm bằng cách phân tích nhật ký duyệt web trên máy tính cá nhân của anh ta, cũng như theo dõi hành vi sử dụng giao thức trộn coin và các đồng tiền riêng tư.

Nguyên nhân Ahmed bị bắt có thể có hai điểm: một là kẻ tấn công có sự tương tác với một số địa chỉ sàn giao dịch tập trung; hai là trong quá trình sử dụng công cụ trộn tiền, thao tác không đúng cách dẫn đến dòng tiền có thể truy dấu. Điều này cho thấy, ngay cả khi sử dụng các biện pháp bảo vệ quyền riêng tư phức tạp, vẫn có khả năng để lại dấu vết.

Sự giải quyết thành công của trường hợp này đã cung cấp tham khảo cho việc xử lý các sự kiện tương tự. Nó không chỉ thể hiện sự nâng cao khả năng của các cơ quan thực thi pháp luật trong việc xử lý tội phạm liên quan đến tiền điện tử, mà còn đánh thức các nhà phát triển DApp, nhắc nhở họ phải đặt an toàn quỹ lên hàng đầu. Đồng thời, trường hợp này cũng có thể có tác dụng răn đe đối với các kẻ tấn công tiềm năng, giúp duy trì an ninh cho hệ sinh thái tiền điện tử.