FTX phơi bày lỗ hổng an ninh nghiêm trọng bên trong: Một tay cầm lái đã lợi dụng sơ hở của hệ thống để thu lợi hàng trăm triệu đô la

Gần đây, với việc điều tra sâu vào vụ phá sản của FTX, một vụ việc thao túng thị trường liên quan đến số tiền khổng lồ đã nổi lên, thu hút sự chú ý rộng rãi từ cộng đồng tiền điện tử.

Theo báo cáo, một nhà giao dịch mang tên Nawaaz Mohammad Meerun, quốc tịch Mauritius, đã kiếm được lợi nhuận lên tới hàng trăm triệu đô la trong một thời gian ngắn bằng cách khéo léo lợi dụng lỗ hổng hệ thống và quy tắc giao dịch ký quỹ của một nền tảng giao dịch. Sự kiện này không chỉ phơi bày những thiếu sót nghiêm trọng trong hệ thống quản lý rủi ro của nền tảng mà còn gióng lên hồi chuông cảnh báo cho toàn ngành công nghiệp tiền điện tử.

Chiến thuật thao túng thị trường được lên kế hoạch tỉ mỉ

Phương pháp hoạt động của Meerun chủ yếu được chia thành ba bước:

1. Mua một lượng lớn token có tính thanh khoản thấp, làm tăng giá một cách nhân tạo.

2. Sử dụng các mã thông báo có giá cao làm tài sản thế chấp để vay một số tiền lớn từ nền tảng.

3. Thiết lập vị thế bán khổng lồ, buộc các công ty liên kết của nền tảng phải đầu tư một khoản tiền khổng lồ để đóng vị thế.

Cụ thể, Meerun bắt đầu mua vào một lượng lớn token BTMX từ tháng 1 năm 2021, cuối cùng kiểm soát gần một nửa nguồn cung token. Điều này đã dẫn đến sự tăng vọt của BTMX lên 10.000% trong vòng ba tháng. Sau đó, anh ta đã sử dụng chức năng đòn bẩy của nền tảng để vay hàng chục triệu đô la bằng cách dùng BTMX làm tài sản thế chấp.

Mặc dù bên phát hành BTMX đã phát hiện ra sự bất thường và cảnh báo sàn giao dịch, nhưng sàn lại không có hành động nào. Được biết, các giám đốc điều hành của sàn lúc bấy giờ đã phớt lờ cảnh báo cho đến khi quy mô lỗ hổng mở rộng lên tới 400 triệu đô la mới bắt đầu chú ý.

Trong khoảng thời gian từ tháng 8 đến tháng 12 năm 2021, Meerun đã lặp lại các thao tác tương tự với các token có tính thanh khoản thấp như BAO, TOMO và SXP, đã lừa đảo gần 200 triệu USD trước khi nền tảng phát hiện ra vấn đề.

Nền tảng ứng phó kém, tổn thất tiếp tục mở rộng

Thật khó hiểu hơn nữa, ngay cả sau khi phát hiện ra vấn đề, nền tảng vẫn chưa hoàn toàn đóng băng tài khoản của Meerun. Cuối cùng, anh ta đã thành công trong việc chuyển nhượng hơn 450 triệu đô la thu nhập bất hợp pháp.

Để che giấu lỗ hổng khổng lồ này, nền tảng đã áp dụng cách "chặt tường phía đông để sửa tường phía tây", chuyển giao thiệt hại cho các công ty liên kết. Tuy nhiên, cách làm này đã không thể ngăn chặn tình hình trở nên tồi tệ hơn.

Meerun sau đó đã mở một vị thế bán khống trên nền tảng đối với một đồng tiền ít người biết đến có tên là Mobile Coin (MOB). Nền tảng một lần nữa không có biện pháp hiệu quả nào, chỉ yêu cầu anh ta cung cấp thêm tài sản thế chấp. Để bù đắp cho vị thế bán khống, công ty liên kết của nền tảng đã phải mua một lượng lớn MOB, dẫn đến giá của nó tăng vọt 750% chỉ trong vài tuần. Cuối cùng, giá MOB đã sụp đổ, gây ra tổn thất ước tính lên tới 1 tỷ đô la cho công ty liên kết.

Cảnh báo và bài học

Sự kiện này đã cung cấp cho ngành công nghiệp tiền điện tử những bài học quý giá:

1. Nền tảng giao dịch cần hoàn thiện quy trình KYC, thực hiện nghiêm ngặt việc xác minh danh tính và quy định phòng chống rửa tiền.

2. Tăng cường cơ chế kiểm soát nội bộ, ngăn chặn sự sơ suất hoặc không hành động của nhân viên.

3. Thiết lập và hoàn thiện hệ thống đánh giá rủi ro, định kỳ thực hiện đánh giá rủi ro kinh doanh.

4. Tăng cường giám sát đối với tài sản có tính thanh khoản thấp và giao dịch giữa các tài khoản.

Đối với các nhà đầu tư, cần cảnh giác với sự biến động bất thường của các token có tính thanh khoản thấp, theo dõi hoạt động trên chuỗi của các tài khoản lớn, ưu tiên chọn các nền tảng giao dịch được quản lý.

Sự kiện này một lần nữa chứng minh rằng ngay cả những nền tảng giao dịch tiền điện tử có vẻ trưởng thành cũng có thể tồn tại những rủi ro an ninh nghiêm trọng. Các bên tham gia trong ngành phải luôn giữ cảnh giác và không ngừng hoàn thiện hệ thống quản lý rủi ro để có thể cung cấp một môi trường giao dịch an toàn và đáng tin cậy hơn cho người dùng.