Lo tenían todo planeado.

A finales de 2022, los hermanos Peraire-Bueno, veintitantos graduados de una prestigiosa universidad que habían puesto su mirada en blockchain, se embarcaron en un esfuerzo que finalmente les reportó 25 millones de dólares, en una de las hazañas más sofisticadas en aproximadamente una década de frecuentes exploits criptográficos. Al principio, según los fiscales estadounidenses, esbozaron un plan de cuatro pasos.

Primero fue "El Cebo". Luego vino "Descifrar el bloqueo", seguido de "La búsqueda" y, finalmente, "La propagación".

"En los meses siguientes, los acusados ​​siguieron cada etapa tal como se describe en su Plan de Explotación", según la acusación.

El Departamento de Justicia de Estados Unidos acusó el miércoles a dos hermanos, Anton Peraire-Bueno, de 24 años, y James Peraire-Bueno, de 28, por explotar una vulnerabilidad en un popular programa de software utilizado por robots comerciales en la cadena de bloques Ethereum, obteniendo un beneficio estimado de 25 millones de dólares. ganancias durante un exploit de 12 segundos en abril de 2023.

¿Cómo funcionó todo?

El exploit se produjo gracias a una vulnerabilidad que los hermanos descubrieron en MEV-boost, un software utilizado por aproximadamente el 90% de los validadores que ejecutan la cadena de bloques, lo que les permite ver las transacciones en bloques antes de que se envíen oficialmente a los validadores.

MEV, o valor máximo extraíble, a veces se conoce como un "impuesto invisible" que los validadores y constructores pueden cobrar a los usuarios reordenando o insertando transacciones en un bloque antes de agregarlas a la cadena de bloques.

A veces, esta práctica se compara con el avance en los mercados bursátiles tradicionales, pero debido a la dificultad de erradicarla por completo, la comunidad Ethereum ha aceptado más o menos la práctica y simplemente ha tratado de minimizar los efectos nocivos.

Una de esas estrategias de mitigación es mediante el uso de MEV-Boost, un programa de software utilizado por aproximadamente el 90% de los validadores de Ethereum. La idea es que todos los interesados ​​puedan ganar MEV de manera más equitativa.

Esta actitud de "así es como se hace" fue reconocida explícitamente por los fiscales en su escrito de acusación.

"La manipulación de estas propuestas MEV-Boost establecidas, en las que confía la gran mayoría de los usuarios de Ethereum, amenaza la estabilidad y la integridad de la cadena de bloques Ethereum para todos los participantes de la red", según la acusación.

Bots, buscadores, retransmisiones, paquetes y constructores

En Ethereum, los usuarios envían transacciones que se agregan a un "mempool", un área donde las transacciones se encuentran en un patrón de retención.

MEV-boost permite a los "constructores de bloques" ensamblar esas transacciones de mempool desde el mempool y colocarlas en bloques.

Luego, los robots MEV, o "buscadores", examinan el mempool y evalúan qué transacciones podrían generar operaciones rentables y, a veces, sobornan a los creadores de bloques para que reorganicen o inserten ciertas transacciones para obtener algunas ganancias adicionales. Luego, los validadores de Ethereum toman esos bloques de MEV. -impulsarlos y entintarlos a la cadena, donde se vuelven irreversibles.

Todos estos pasos normalmente los ejecuta automáticamente el software en fracciones de segundos.

Lo que hicieron los hermanos Peraire-Bueno en este caso fue apuntar a tres robots MEV que no tenían ciertos controles establecidos y configurar 16 validadores diseñados para atraer a los robots.

Un validador fraudulento en Flashbot parece estar explotando los robots MEV. Ya se han robado más de 25 millones de dólares. El validador toma un paquete sándwich del bot MEV y reemplaza la transacción de la víctima por una propia que explota el bot MEV. Así es como funciona: pic.twitter.com/il3o9r41J1

– Mudit Gupta (@Mudit__Gupta) 3 de abril de 2023

Cuando los buscadores agrupan transacciones, tienen una transacción de destino, una transacción firmada antes y una transacción firmada después.

“Las reglas del juego son, 'Bueno, te doy este paquete, y el paquete tiene que ejecutarse atómicamente', lo que significa que sólo funcionará si las tres transacciones se incluyen exactamente en este orden, y cualquier otra cosa que no sea eso, es "No va a funcionar", dijo a CoinDesk Matt Cutler, director ejecutivo de Blocknative, una empresa de infraestructura blockchain, en una entrevista.

Debido a que los hermanos configuraron validadores maliciosos, su intención siempre fue aprovechar la oportunidad para explotar los robots que no tenían esos controles, separando esas transacciones.

“Debido a que las transacciones del honeypot eran muy lucrativas, y los bots no tenían controles para evitar que ocurrieran ciertas condiciones, y fundamentalmente confiaban en la integridad del validador y del ecosistema MEV-boost, el validador malicioso obtuvo acceso a transacciones firmadas que estaban asegurados y luego pudieron manipular esas transacciones firmadas para drenar a los bots 25 millones de dólares en fondos”, dijo Cutler.

'Firmas falsas'

En sus acusaciones, el gobierno hizo todo lo posible para demostrar que las actividades, dirigidas a una coyuntura crucial del funcionamiento interno de blockchain, a un nivel que es técnico incluso para desarrolladores experimentados de blockchain, divergieron de las normas de la comunidad y entraron en el ámbito del fraude. .

Específicamente, los hermanos fueron acusados ​​de enviar una "firma falsa" en lugar de una firma digital válida a un actor crucial en la cadena conocido como "retransmisión". Se necesita una firma para revelar el contenido de un bloque de transacciones propuesto, incluidas todas las ganancias potenciales contenidas en el paquete.

"En este proceso, un relé actúa de manera similar a una cuenta de depósito en garantía, que mantiene temporalmente los datos de transacción privados del bloque propuesto hasta que el validador se compromete a publicar el bloque en la cadena de bloques exactamente como se ordenó", escribieron los fiscales. "El relé no liberará las transacciones dentro del bloque propuesto al validador hasta que el validador haya confirmado mediante una firma digital que publicará el bloque propuesto, según la estructura del constructor, en la cadena de bloques".

Basándose en su investigación y planificación, alegaron los fiscales, los hermanos "sabían que la información contenida en la firma falsa estaba diseñada para engañar al Relay para que revelara prematuramente el contenido completo del bloqueo propuesto a los acusados, incluido el privado". información de la transacción", según la acusación.

Como dijo Cutler: “Robar es robar, independientemente de los términos que permitan ese robo”.

"El hecho de que la puerta de tu auto esté abierta no significa que esté bien entrar a tu auto, ¿verdad?" él dijo.

Ethereum a menudo es susceptible a algunas prácticas comerciales MEV controvertidas, como los ataques front-running y los llamados ataques sándwich. Pero muchas figuras destacadas del ecosistema MEV ven el exploit que tuvo lugar el año pasado como puro robo.

Taylor Monahan, gerente principal de productos de MetaMask, escribió en X que "Sí, si robas y lavas 25 millones de dólares, deberías esperar ir a prisión durante mucho tiempo, lmfao".

Sí, si robas y lavas $25 millones de dólares, deberías esperar ir a prisión por mucho tiempo lmfao. Si esa es una idea impactante, por favor gtfo twitter y llama a tu mamá y dile que acabas de robar $25 millones y mira cómo reacciona jajaja. .

– Tay 💖 (@tayvano_) 15 de mayo de 2024

"Se podría decir que es un poco robar a los ladrones, pero de todos modos fue claramente una hazaña, una manipulación de conjuntos de reglas, de una manera que se considera una violación de las leyes establecidas de la jurisdicción, cierto", dijo Cutler.

Casi para subrayar este punto, el gobierno alegó que en las semanas posteriores al exploit, Anton Peraire-Bueno "buscó en línea, entre otras cosas, 'mejores abogados criptográficos', '¿cuánto tiempo tiene nuestra estatua [sic] de limitaciones'?" estatuto de limitaciones sobre fraude electrónico/estatuto de limitaciones sobre fraude electrónico', 'base de datos de direcciones Ethereum fraudulentas' y 'estatuto de limitaciones [sic] sobre lavado de dinero'".

La fiscalía también señaló que el día después del exploit, James Peraire-Bueno envió un correo electrónico a un representante del banco pidiendo "una caja de seguridad que fuera lo suficientemente grande como para caber en una computadora portátil".

Leer más: Hermanos acusados ​​de explotar 25 millones de dólares en Ethereum mientras Estados Unidos revela cargos de fraude