Một vụ rug pull trên BNB Chain đã lừa đảo người dùng số BNB trị giá 2 triệu USD (11 triệu USD theo giá ngày nay). Người dùng đã yêu cầu Binance trợ giúp và Binance cho biết họ đã đóng băng số tiền nhưng sau đó đã rút lại tuyên bố. Số tiền đã nằm trong địa chỉ đó gần hai năm cho đến khi Binance bất ngờ hành động đóng băng ví của kẻ lừa đảo, vốn đã tăng lên 10,8 triệu USD.
Trước đây, Binance đã tuyên bố rằng họ không thể đóng băng các ví bên ngoài các địa chỉ sàn giao dịch do tính chất phi tập trung của BNB Chain. Người dùng không hài lòng và yêu cầu Binance làm nhiều hơn nữa và đây là câu chuyện về vụ lừa đảo PopcornSwap.
Vào ngày 28 tháng 1 năm 2021, sàn giao dịch phi tập trung PopcornSwap dựa trên BNB Chain đã thực hiện một vụ exit scam, đánh cắp hơn 2 triệu đô la tài sản của các nhà cung cấp thanh khoản thông qua chức năng “preUpgrade” ít được biết đến có trong Hợp Đồng Thông Minh của sàn giao dịch.
Người dùng hy vọng rằng Binance, công ty đã tạo ra Chuỗi BNB, có thể đóng băng địa chỉ của kẻ lừa đảo. BNB được giữ trong tài khoản của kẻ lừa đảo dần dần tăng lên giá trị hơn 10 triệu đô la khi người dùng suy đoán liệu số tiền có bị đóng băng hay không.
Trên thực tế, Binance có thể đóng băng các địa chỉ ví riêng tư trên BNB Chain – miễn là tất cả những người xác thực đều đồng ý. Mặc dù Binance cuối cùng đã đóng băng địa chỉ của kẻ tấn công nhưng hành động này đã xảy ra gần hai năm sau vụ lừa đảo. Kẻ tấn công đã tự nguyện giữ tiền trong tài khoản ban đầu trong hai năm qua và không chuyển chúng đi.
Nội Dung
PopcornSwap Rug Pull
Vào năm 2021, PopcornSwap trở thành một trong những sàn giao dịch phi tập trung đầu tiên trên Binance Smart Chain (BSC) sau này được đổi tên thành BNB Smart Chain. Một số người dùng mạng đã đổ xô đến PopcornSwap để gửi tiền thanh khoản, hy vọng kiếm được lợi nhuận từ khối lượng giao dịch cao mà họ dự kiến sẽ thành hiện thực trên BSC. Nhưng thay vì nhận được lợi nhuận kỷ lục như mong đợi, họ lại mất toàn bộ số tiền đã gửi. PopcornSwap là một nhánh của PancakeSwap, bản thân nó là một nhánh của SushiSwap trên Ethereum. Và thật tình cờ là SushiSwap có chức năng “preUpgrade” cho phép các nhà phát triển tự phê duyệt là người chi tiêu cho mọi mã thông báo của nhà cung cấp thanh khoản (LP), cho phép họ tiêu hao tất cả tài sản do giao thức nắm giữ.
Trong khoảng thời gian từ 1:26 chiều đến 5:53 chiều UTC vào ngày 28 tháng 1 năm 2021, một địa chỉ BSC có tên “Fake_Phishing7” đã sử dụng chức năng nói trên để rút hết số tiền điện tử trị giá 2 triệu đô la của giao thức, hoán đổi tất cả số tiền đó thành đồng tiền gốc của mạng, BNB. LP PopcornSwap đã mất tất cả. Cuộc tấn công kết thúc khi Fake_Phishing7 thực hiện giao dịch cuối cùng, hoán đổi 250.913 USD Coin được chốt bởi Binance với giá 5.536 BNB. Điều này khiến kẻ lừa đảo nắm giữ khoảng 48.511 BNB, trị giá 2 triệu USD vào thời điểm đó (và 10,8 triệu USD hiện nay), được giữ trong địa chỉ của nó.
NạnNhân Yêu Cầu Binance Giúp Đỡ
Sau vụ rug pull, các nạn nhân đã thành lập một nhóm Telegram có tên PopcornSwap Rugpull và kêu gọi nhau liên hệ với Binance và báo cáo hành vi gian lận, yêu cầu sàn giao dịch đóng băng địa chỉ của kẻ lừa đảo trước khi bất kỳ khoản tiền nào có thể được rút ra. Một số người dùng tin rằng Binance có thể đóng băng địa chỉ ví riêng của kẻ lừa đảo, trong khi những người khác cho rằng điều đó là không thể, vì một sàn giao dịch tập trung không thể đóng băng địa chỉ ví riêng tư.
Binance Thực Hiện Hành Động
Vào ngày 29 tháng 1 năm 2021, Binance đã phản hồi một trong những nạn nhân của PopcornSwap. Một người dùng tự gọi mình là “Richie” đã đăng hình ảnh email họ nhận được. Trong đó, nhân viên dịch vụ khách hàng của Binance đã nhầm lẫn khi tuyên bố rằng “ví của kẻ lừa đảo đã bị đóng băng”. Nhân viên dịch vụ khách hàng kêu gọi Richie và tất cả người dùng PopcornSwap “hãy kiên nhẫn cho đến khi toàn bộ tình huống được chính quyền giải quyết”.
Nhưng đến tháng 10 năm 2022, số tiền bị đánh cắp vẫn không được chuyển đi và mọi nỗ lực yêu cầu dịch vụ khách hàng phản hồi đều nhận được các lá thư yêu cầu người dùng liên hệ với cảnh sát. Các nạn nhân của PopcornSwap hoang mang trước phản ứng có vẻ nhẫn tâm của sàn giao dịch đối với yêu cầu hoàn tiền của họ. Tuy nhiên, dữ liệu blockchain cho thấy tại thời điểm xảy ra những khiếu nại này, Binance không sở hữu bất kỳ quyền sở hữu số tiền bị đánh cắp nào, cũng như không liên kết với thực thể đã đánh cắp tiền của người dùng.
Trái ngược với tuyên bố từ đại diện dịch vụ khách hàng của Binance, dữ liệu từ BNB Smart Chain cho thấy địa chỉ của kẻ lừa đảo không bị đóng băng trước ngày 6 tháng 10 năm 2022. Thay vào đó, số tiền vẫn còn trong tài khoản của kẻ tấn công và không bao giờ được gửi đến một sàn giao dịch tập trung cũng như không được kết nối với một mạng khác. Kẻ lừa đảo đã không rút được chiến lợi phẩm bị đánh cắp của họ và không bao giờ thu được lợi nhuận từ cuộc tấn công. Nhưng thất bại này là do kẻ lừa đảo có vẻ thiếu chủ động chứ không phải do bất kỳ hành động đóng băng nào do Binance thực hiện.
Đóng Băng Ngày 6 Tháng 10 Năm 2022
Vào ngày 6 tháng 10 năm 2022, trong một cuộc tấn công hoàn toàn không liên quan đến vụ lừa đảo PopcornSwap, cầu BSC Token Hub đã bị khai thác với giá hơn 570 triệu USD . Kẻ khai thác đã sử dụng lỗ hổng trong mã cầu nối để phát hành 2 triệu BNB trên BSC mà không gửi nó vào phía Beacon Chain của cây cầu trước. Điều này có nghĩa là tổng nguồn cung BNB đã tăng thêm 2 triệu trên BSC.
Kẻ tấn công ngay lập tức chuyển số BNB khai thác được trị giá 100 triệu USD sang các mạng khác, khiến số tiền này nằm ngoài tầm với của những người xác thực BSC. Đáp lại, các nhà phát triển BSC đã đề xuất một hard fork của mạng nhằm đóng cầu nối và đóng băng địa chỉ của kẻ khai thác. Trong khi soạn thảo đề xuất này, nhóm cũng bao gồm một dòng trong mã để đóng băng địa chỉ của kẻ lừa đảo PopcornSwap.
Bản nâng cấp này đã được tất cả những người xác nhận của Chuỗi BNB nhất trí phê duyệt . Do đó, cả địa chỉ của kẻ khai thác cầu nối và kẻ lừa đảo PopcornSwap đều bị cấm thực hiện bất kỳ giao dịch gửi đi nào sau ngày 6 tháng 10 năm 2022. Tuy nhiên, đề xuất mới không bao gồm mã chuyển số tiền bị đóng băng sang một địa chỉ khác. Các nạn nhân nói rằng Binance lẽ ra có thể làm nhiều hơn để giảm thiểu vụ việc.
10/ Despite attempts by the community to engage Binance directly through messages, DMs, tickets, tweets to @cz_binance and through having reputable lawyers reach out, we have been met with silence.
— neonmatrixbox (@neonmatrixbox) June 26, 2023
Binance Phản Hồi
Trong cuộc trò chuyện với Cointelegraph vào ngày 31 tháng 8 năm 2023, đại diện của Binance đã xác nhận rằng đề xuất đóng băng địa chỉ Fake_Phishing7 vào ngày 6 tháng 10 năm 2022 là do Binance đưa ra. Người đại diện cũng khẳng định đây chỉ là đề xuất, không thể thực hiện nếu không có sự đồng ý của người xác nhận. Trong trường hợp này, đề xuất đã được tất cả những người xác thực mạng nhất trí đồng ý. Người đại diện cho biết:
“Theo yêu cầu của các nạn nhân PopcornSwap, Binance đã đề xuất đưa địa chỉ của kẻ tấn công vào danh sách đen cùng với kẻ tấn công BNB Bridge vào tháng 10 năm 2022, địa chỉ này đã được nhóm BNB Chain đệ trình và được các nhà xác thực mạng phê duyệt.”
Binance cũng xác nhận, phù hợp với dữ liệu blockchain, rằng số tiền này chưa bao giờ được chuyển vào quyền sở hữu của họ. Họ tuyên bố: “Chúng tôi có thể xác nhận rằng kẻ lừa đảo đã không chuyển tiền sang Binance và chúng tôi không có quyền kiểm soát số tiền đó”. “Chuỗi BNB là một hệ sinh thái mã nguồn mở và phi tập trung; ví và/hoặc tiền của họ không thể bị đóng băng theo ý muốn [và] các quyết định quản trị đều do cộng đồng điều phối.”
Binance tuyên bố rằng cuộc điều tra vẫn chưa kết thúc và sàn giao dịch sẵn sàng tuân thủ cảnh sát nếu có thể hỗ trợ. Người đại diện cho biết: “Vụ việc này vẫn đang được điều tra và nhóm điều tra của chúng tôi luôn sẵn sàng hỗ trợ cơ quan thực thi pháp luật truy tìm những kẻ chịu trách nhiệm”.
Vụ Lừa Đảo PopcornSwap: Câu Chuyện Cảnh Báo
Nạn nhân của vụ lừa đảo PopcornSwap đã mất hơn 2 triệu đô la trong số tiền khó kiếm được của họ và khi thấy Binance phát triển BNB Smart Chain, họ đã nhờ đến sự giúp đỡ. Sàn giao dịch ban đầu từ chối trợ giúp, với lý do bản chất phi tập trung của blockchain, nhưng sau đó đã đảo ngược tiến trình và đóng băng địa chỉ riêng của kẻ lừa đảo với sự đồng ý của người xác thực BNB Chain.
Vụ lừa đảo PopcornSwap cũng đóng vai trò như một câu chuyện cảnh báo về những rủi ro khi sử dụng hợp đồng thông minh. Nếu một hợp đồng thông minh có lỗ hổng cho phép kẻ tấn công rút tiền của người dùng, thì nạn nhân sẽ phải đối mặt với một cuộc đấu tranh khó khăn để được người xác nhận hoàn trả sau khi cuộc tấn công hoàn thành, vì về cơ bản, các nhánh của chuỗi cần có sự đồng ý nhất trí để được thực hiện – chẳng hạn như bản chất của blockchain. Ngoài ra, hãy lưu ý rằng bất chấp các yêu cầu phi tập trung của họ, trên thực tế, nhiều tổ chức có thể thực hiện quyền kiểm soát tài sản của người dùng nếu họ muốn.
