Tuần trước, các tin tặc đã thực hiện trót lọt phi vụ tấn công vào một dự án Web3. Nạn nhân lần này là Cashio, loại tiền điện tử ổn định (stablecoin) dựa trên Solana. Nhóm hacker đã lợi dụng một lỗ hổng cho phép chúng khai thác số lượng mã thông báo (token) gần như vô hạn, nhà phát triển Cashio cho biết trên Twitter.
Sau đó, tin tặc thông báo trên blockchain rằng chúng đang xem xét trả lại tiền cho một số tài khoản theo các tiêu chí cụ thể.
“Các tài khoản dưới 100 ngàn USD đã được trả tiền”, hacker cho biết. “Mục đích là chỉ lấy tiền từ những người không cần tới nó, chứ không phải tất cả mọi người. Sẽ sử dụng tiền thu được bằng ETH để hoàn tiền cho những người bị ảnh hưởng, có thể là cả với những tài khoản trên 100 ngàn USD. Mỗi tài khoản chỉ được hoàn trả một lần”.
Không chỉ vậy, nhóm hacker còn đưa ra hướng dẫn cụ thể từng bước để các nạn nhân đăng ký nhận lại tiền. Một tài khoản Twitter có tên wireless_anon đã tạo một website nguồn mở để các nạn nhân có thể tập hợp chữ ký số và tự động gửi yêu cầu nhận lại tiền.
“Chúng tôi sẽ lựa chọn những ai có thể nhận lại tiền. Có thể là toàn bộ, một phần hoặc không gì cả. Hãy tập hợp các yêu cầu vào 1 file, quá trình hoàn tiền sẽ được tiến hành thủ công vào tuần tới. Sẽ mất thời gian đấy”, trích bài đăng của nhóm hacker.
Một số nạn nhân đang tha thiết yêu cầu trả lại tiền, thậm chí còn gọi nhóm hacker là “Robin Hood”. Nhưng chưa rõ liệu họ có phải là những người bị mất tiền thật sự hay không, và cũng không chắc chắn về việc nhóm hacker sẽ thực sự trả lại bất kỳ số tiền nào mà chúng lấy được.
Các quản trị viên kênh Discord của Cashio không đưa ra bình luận về vụ việc trên.
Vụ hack Cashio là sự kiện mới nhất trong chuỗi tấn công liên tục vào các giao thức tiền mã hoá, tài chính phi tập trung (DeFi) cũng như các tổ chức Web3.
Đây cũng không phải lần đầu tiên các tin tặc đánh cắp tiền ảo rồi đàm phán trực tiếp trên blockchain để trả lại một phần hay tất cả tài sản. Trước đó, các nhóm tấn công Multichain và PolyNetwork, cùng 1 số vụ việc khác đã làm điều tương tự.
Vinh Ngô(theo Vice)