Kẻ tấn công chiếm số token trị giá gần 20 triệu USD, nhưng chỉ giữ lại 10% coi như phần thưởng.
Vụ đánh cắp xảy ra vào cuối tháng 5, bắt nguồn từ sai lầm của Wintermute khi gửi nhầm địa chỉ ví nhận token cho bên phát hành là Optimism. Optimism là dự án blockchain layer 2 trên mạng Ethereum mới ra mắt cùng token có tên OP, trong khi Wintermute là một nhà tạo lập thị trường (market maker).
Theo thỏa thuận, Wintermute sẽ nhận 20 triệu token OP từ Optimism nhằm xây dựng nguồn thanh khoản cho các giao dịch trong tương lai. Tuy nhiên, dự án này gặp sai sót khi gửi địa chỉ ví Ethereum, trong khi đáng lẽ phải gửi địa chỉ ví Optimism. Khi hai bên đang xử lý để chuyển tiền về đúng địa chỉ, hacker đã nắm được thông tin và nẫng đi toàn bộ số token này. Với giá trị token dao động ở mức 1 USD, số tiền bị đánh cắp tương đương 20 triệu USD.
Ngày 10/6, hacker đã hoàn trả 17 triệu OP cho Optimism. Người này đã tẩu tán một triệu token qua máy trộn Tornado Cash, chuyển một triệu token khác cho nhà sáng lập Ethereum Vitalik Buterin kèm lời nhắn muốn nhờ người này giúp trả lại tiền cho dự án. Ví của hacker hiện vẫn giữ lại một triệu OP.
Trên Twitter, Optimism xác nhận đã nhận được 17 triệu OP, đồng thời làm việc với Buterin để thu hồi lại số token gửi đến ông này. Với phần thiệt hại hai triệu OP, Optimism cho biết sẽ yêu cầu Wintermute phải đền bù, đồng thời “bật đèn xanh” cho nhóm hacker, coi như phần thưởng cho việc tìm ra lỗ hổng.
Dù đã thu hồi lại được phần lớn token bị đánh cắp, sự cố vẫn ảnh hưởng đến danh tiếng của dự án cũng như giá token. Sau khi vụ mất cắp được công bố, giá của OP đã giảm 30% và hiện mới chỉ hồi lại 10%.
Ngày 9/6, Wintermute nhận trách nhiệm về việc để mất tiền, đồng thời kêu gọi hacker trả lại các token trong vòng một tuần, nếu không sẽ nhờ đến các cơ quan thực thi pháp luật. Nhà cung cấp này cũng phải nhờ Optimism gửi 20 triệu OP khác để hoàn thành công việc, chấp nhận thế chấp khoản 50 triệu USDC.
Theo các nhà phân tích, việc hacker chỉ tẩu tán một triệu OP có thể do đây là dự án mới, nguồn thanh khoản chưa lớn. Ngoài ra, một số nghi ngờ có gian lận nội bộ trong tổ chức, dẫn đến việc nhầm lẫn và bị hacker nẫng tay trên.
Đây không phải lần đầu hacker trả lại tiền số sau khi đánh cắp. Hồi tháng 8 năm ngoái, hacker cũng đã trả lượng tiền số trị giá 600 triệu USD lấy từ mạng Poly Network.
Lưu Quý