Měli to všechno naplánované.

Koncem roku 2022 se bratři Peraire-Bueno – dvacetiletí absolventi prestižní univerzity, kteří se zaměřili na blockchain – pustili do úsilí, které jim nakonec vyneslo 25 milionů dolarů, což je jeden z nejsofistikovanějších exploitů za posledních zhruba deset let. časté zneužití kryptoměn. Hned na začátku podle amerických žalobců nastínili čtyřstupňový plán.

Nejprve tu byla "The Bait". Pak bylo „Odslepování bloku“, následovalo „Hledání“ a nakonec „Propagace“.

"V měsících, které následovaly, obžalovaní dodržovali každou fázi, jak je uvedeno v jejich Exploit Plan," podle obžaloby.

Americké ministerstvo spravedlnosti ve středu obvinilo dva bratry Antona Peraire-Buena (24) a Jamese Peraire-Buena (28) ze zneužití zranitelnosti v populárním softwarovém programu používaném obchodními roboty na blockchainu Ethereum, čímž se odhaduje zisk 25 milionů dolarů. zisky během 12sekundového exploitu v dubnu 2023.

Jak to celé fungovalo?

K zneužití došlo díky zranitelnosti, kterou bratři objevili v MEV-boost, což je software používaný zhruba 90 % validátorů provozujících blockchain, který jim umožňuje vidět transakce v blocích předtím, než byly oficiálně odeslány validátorům.

MEV neboli maximální vytěžitelná hodnota je někdy známá jako „neviditelná daň“, kterou mohou validátoři a tvůrci vybírat od uživatelů přeskupením nebo vložením transakcí do bloku před jejich přidáním do blockchainu.

Někdy je tato praxe srovnávána s frontrunningem na tradičních akciových trzích, ale kvůli obtížnosti jejího úplného vymýcení komunita Ethereum tuto praxi víceméně přijala a jednoduše se pokusila minimalizovat škodlivé účinky.

Jednou z těchto zmírňujících strategií je použití MEV-Boost, softwarového programu, který používá zhruba 90 % validátorů Etherea. Myšlenka je, že všichni příchozí by mohli vydělávat MEV spravedlivěji.

Takový postoj, jak se to dělá, výslovně uznali státní zástupci ve svém dokumentu o obvinění.

„Poškozování těchto zavedených návrhů MEV-Boost, na které spoléhá velká většina uživatelů Etherea, ohrožuje stabilitu a integritu blockchainu Ethereum pro všechny účastníky sítě,“ uvádí obžaloba.

Boti, hledači, relé, svazky a stavitelé

Na Ethereu uživatelé odesílají transakce, které jsou přidány do „mempoolu“ – oblasti, kde jsou transakce zadržovány.

MEV-boost umožňuje „tvůrcům bloků“ sestavit tyto transakce mempoolu z mempoolu a umístit je do bloků.

Potom se roboti MEV neboli „hledači“ podívají do mempoolu a vyhodnotí, které transakce by mohly přinést ziskové obchody, a někdy podplatí tyto tvůrce bloků, aby přeuspořádali nebo vložili určité transakce, aby vymáčkli nějaké extra zisky. Validátoři Etherea pak tyto bloky odeberou z MEV -boost a inkoust je do řetězce, kde se stanou nevratné.

Všechny tyto kroky software obvykle provádí automaticky ve zlomcích sekund.

Bratři Peraire-Bueno v tomto případě zamířili na tři roboty MEV, kteří neměli zavedené určité kontroly, a nastavili 16 validátorů navržených tak, aby nalákali roboty.

Zdá se, že nepoctivý validátor na Flashbotu využívá roboty MEV. Již bylo ukradeno více než 25 milionů USD. Validátor vezme sendvičový balíček z robota MEV a nahradí oběťovou transakci svou vlastní, která místo toho zneužije robota MEV. Funguje to takto - pic.twitter.com/il3o9r41J1

— Mudit Gupta (@Mudit__Gupta) 3. dubna 2023

Když hledající spojí transakce dohromady, mají cílovou transakci, podepsanou transakci před ní a podepsanou transakci poté.

„Pravidla hry jsou: ‚Dám vám tento balíček a balíček se musí provést atomicky‘, což znamená, že bude fungovat pouze tehdy, pokud budou všechny tři transakce zahrnuty přesně v tomto pořadí, a jakákoli jiná věc než to je nebude fungovat,“ řekl v rozhovoru pro CoinDesk Matt Cutler, generální ředitel Blocknative, společnosti zabývající se blockchainovou infrastrukturou.

Protože bratři vytvořili škodlivé validátory, jejich záměrem bylo vždy využít příležitosti zneužít roboty, kteří tyto kontroly neměli, a tyto transakce rozdělit.

„Vzhledem k tomu, že transakce honeypotu byly velmi lukrativní a roboti neměli zavedené kontroly, které by zabránily naplnění určitých podmínek, a zásadně důvěřovali integritě validátoru a ekosystému MEV-boost, získal škodlivý validátor přístup k podepsaným transakcím, které byli zajištěni a poté byli schopni manipulovat s těmito podepsanými transakcemi, aby robotům odčerpali finanční prostředky ve výši 25 milionů dolarů,“ řekl Cutler.

'falešné podpisy'

Ve svých obviněních se vláda ze všech sil snažila prokázat, že aktivity – zaměřené na zásadní styčný bod vnitřního fungování blockchainu na úrovni, která je technická i pro zkušené vývojáře blockchainu – se odchýlily od komunitních norem a směřovaly do sféry podvodů. .

Konkrétně byli bratři obviněni z toho, že poslali „falešný podpis“ místo platného digitálního podpisu klíčovému hráči v řetězci známém jako „štafeta“. Podpis je nutný k odhalení obsahu navrhovaného bloku transakcí – včetně všech potenciálních zisků obsažených uvnitř balíčku.

„V tomto procesu funguje relé podobným způsobem jako vázaný účet, který dočasně uchovává jinak soukromá transakční data navrhovaného bloku, dokud se validátor nezaváže zveřejnit blok na blockchainu přesně tak, jak bylo nařízeno,“ napsali žalobci. "Předávání neuvolní transakce v rámci navrhovaného bloku validátoru, dokud validátor nepotvrdí prostřednictvím digitálního podpisu, že zveřejní navrhovaný blok, jak je strukturován tvůrcem, do blockchainu."

Na základě svého výzkumu a plánování, tvrdili žalobci, bratři „věděli, že informace obsažené ve falešném podpisu byly navrženy tak, aby oklamaly Relay, aby předčasně vydaly plný obsah navrhovaného bloku obžalovaným, včetně soukromých informace o transakci,“ podle obžaloby.

Jak řekl Cutler: "Krádež je krádež, bez ohledu na podmínky, které tuto krádež umožňují."

"To, že jsou dveře tvého auta odemčené, neznamená, že je v pořádku vloupat se do tvého auta, že?" řekl.

Ethereum je často náchylné k některým kontroverzním obchodním praktikám MEV, jako jsou front-running a takzvané sendvičové útoky. Ale mnoho předních osobností v ekosystému MEV považuje exploit, ke kterému došlo v loňském roce, za čistou krádež.

Taylor Monahan, vedoucí produktový manažer ve společnosti MetaMask, napsal na X, že „Ano, pokud ukradnete a vyperete 25 milionů dolarů, měli byste očekávat, že půjdete na dlouhou dobu do vězení.

Ano, pokud ukradnete a vyperete 25 milionů dolarů, měli byste očekávat, že půjdete do vězení na dlouhou dobu lmfao. Pokud je to šokující představa, prosím gtfo twitter a zavolejte své mámě a řekněte jí, že jste právě ukradli 25 milionů dolarů a uvidíte, jak zareaguje lol .

— Tay 💖 (@tayvano_) 15. května 2024

"Je to trochu okrádání lupičů, dalo by se pravděpodobně říci, ale bez ohledu na to to bylo zjevně zneužití, manipulace s pravidly, způsobem, který je považován za porušení zavedených zákonů jurisdikce, správně," řekl Cutler.

Téměř pro podtržení tohoto bodu vláda tvrdila, že v týdnech následujících po zneužití Anton Peraire-Bueno „hledal na internetu mimo jiné ‚nejlepší krypto právníky‘, ‚jak dlouho je naše socha [sic] omezení‘‘ zákon o drátovém podvodu / zákon o promlčení [sic], „databáze podvodných adres Ethereum“ a „zákon o praní špinavých peněz [sic] o omezeních“.

Obžaloba také poznamenala, že den po zneužití poslal James Peraire-Bueno e-mail zástupci banky s žádostí o „bezpečnostní schránku, která by byla dostatečně velká, aby se do ní vešel notebook“.

Přečtěte si více: Bratři byli obviněni z využívání etherea za 25 milionů dolarů, když USA odhalují obvinění z podvodu