Дело (против) MEV-ботов

Не так давно в СМИ появились заголовки следующего содержания: "Два брата арестованы за атаку на блокчейн Ethereum и кражу криптовалюты на сумму 25 миллионов долларов". Мимо такого события пройти я не мог...

Тем более что дело это - образцово-показательное: мол, смотрите, как мы умеем (спойлер: никак, но накажем всё равно).

Перевод

Это вольный перевод пресс-релиза: justice.gov/opa/pr/two-brothers-arrested-attacking-ethereum-blockchain-and-stealing-25m-cryptocurrency.

Общие вводные

Недавно был обнародован обвинительный акт, в котором Антон Перайр-Буэно, 24 лет, из Бостона, и Джеймс Перайр-Буэно, 28 лет, из Нью-Йорка, обвиняются в заговоре с целью (совершения) мошенничества с использованием электронных средств связи, (а равно и в) мошенничестве с использованием электронных средств связи и заговоре с целью отмывания денег.

Обвинения вытекают из предполагаемой (новой) схемы, разработанной обвиняемыми для эксплуатации целостности блокчейна Ethereum с целью мошеннического получения криптовалюты на сумму около 25 миллионов долларов за примерно 12 секунд.

Антон Перайр-Буэно и Джеймс Перайр-Буэно были арестованы в Бостоне и Нью-Йорке соответственно, и ... предстанут перед судом…

"Как утверждается в обвинительном акте, братья Перайр-Буэно украли 25 миллионов долларов в криптовалюте Ethereum через технологически сложную, передовую схему, которую они разрабатывали в течение нескольких месяцев и осуществили за считанные секунды", — высказалась заместитель генерального прокурора Лиза Монако.

"... По мере того как рынки криптовалют продолжают развиваться, Министерство будет продолжать искоренять мошенничество, поддерживать жертв и восстанавливать доверие к этим рынкам".

"Ведомство предъявило обвинения двум братьям — Антону Перайр-Буэно и Джеймсу Перайр-Буэно — в заговоре с целью совершения мошенничества с использованием электронных средств связи, мошенничестве с использованием электронных средств связи и заговоре с целью отмывания денег, все эти обвинения связаны с их предполагаемой схемой эксплуатации блокчейна Ethereum и получения около 25 миллионов долларов в криптовалюте", — сказал прокурор США Дамиан Уильямс из Южного округа Нью-Йорка.

"Мы утверждаем, (что) схема обвиняемых ставит под сомнение саму целостность блокчейна. Братья, изучавшие компьютерные науки и математику в одном из самых престижных университетов мира, (возможно) использовали свои специализированные навыки и полученное (научное) образование для вмешательства в протоколы, на которые полагаются миллионы пользователей Ethereum по всему миру. И как только они привели свой план в действие, их ограбление заняло всего 12 секунд. Эта предполагаемая схема была новаторской и никогда ранее не использовалась. Но, как ясно показывает обвинительный акт, независимо от того, насколько сложным является мошенничество или насколько новыми являются использованные методы, опытные прокуроры нашего ведомства будут неустанно преследовать тех, кто атакует целостность (любых) финансовых систем”.

«Эти братья... совершили первую в своём роде манипуляцию с блокчейном Ethereum, мошеннически получив доступ к незавершённым транзакциям, изменив движение электронной валюты и в итоге похитив 25 миллионов долларов в криптовалюте у своих жертв», — сказал специальный агент… Томас Фатторуссо.

«В этом случае Кибер-отдел IRS-CI Нью-Йорка просто отслеживал (поток) денег. Независимо от сложности дела, мы продолжаем возглавлять расследования финансовых преступлений, используя передовые технологии и традиционные методы расследования, как на блокчейне, так и вне его».

Как утверждается в обвинительном ... (братья), используя специальные навыки, полученные во время учебы, а также свой опыт в торговле криптовалютой, ... эксплуатировали целостность блокчейна Ethereum, чтобы мошенническим образом получить криптовалюту на сумму около 25 миллионов долларов от трейдеров криптовалюты (далее «Эксплойт»). [Прим. Menaskop: прошу обратить внимание на количество повторов, которые даже для бюрократического языка - зашкаливает в тексте по всем видимым нормам].

Через Эксплойт, который, как считается, является первым в своём роде, Антон и Джеймс Перайр-Буэно манипулировали и вмешивались в процесс и протоколы, с помощью которых транзакции подтверждаются и добавляются в блокчейн Ethereum.

Таким образом, они мошеннически получили доступ к незавершённым приватным транзакциям [Прим. Menaskop: тут нужно пояснение, т.к. "приватные транзакции" - очень размытое понятие и на мой взгляд не соответствует сути работы Ethereum] и использовали этот доступ, чтобы изменить определённые транзакции и получить криптовалюту своих жертв. После того как обвиняемые похитили криптовалюту (у своих) жертв, они отклонили запросы на возврат украденной криптовалюты и предприняли многочисленные шаги, чтобы скрыть свои незаконные доходы.

Антон и Джеймс Перайр-Буэно тщательно планировали Эксплойт на протяжении нескольких месяцев.

Среди прочего, они изучали торговое поведение жертв, чью криптовалюту они в конечном итоге украли. Планируя Эксплойт, они также предприняли многочисленные шаги, чтобы скрыть свои личности и заложить основу для сокрытия украденных средств, включая создание подставных компаний и использование множества частных криптовалютных адресов и зарубежных криптовалютных бирж.

После (применения) Эксплойта обвиняемые перевели украденную криптовалюту через серию транзакций, призванных скрыть источник и владение украденными средствами.

В ходе планирования, выполнения (атаки посредством Эксплоита) и (её) последствий Антон Перайр-Буэно и Джеймс Перайр-Буэно также искали в интернете информацию о том, как, среди прочего, (использовать) Эксплойт, способы скрыть своё участие в (использовании данного) Эксплойта, криптовалютные биржи с ограниченными процедурами KYC, которые они могли бы применить для отмывания своих преступных доходов, (а также разыскивали) адвокатов с опытом ведения дел по криптовалюте, процедурам экстрадиции и (иным) преступлениям, по которым они (могли быть) обвинены.

Если их признают виновными, Антону Перайр-Буэно и Джеймсу Перайр-Буэно грозит максимальное наказание в виде 20 лет лишения свободы по каждому пункту обвинения.

Кибер-отдел по расследованиям IRS-CI Нью-Йорка расследовал это дело при содействии Службы таможенного и пограничного контроля США и полицейского департамента Нью-Йорка.

Помощники прокуроров США Рушми Бхаскаран и Даниэль Кудла из Южного округа Нью-Йорка ведут это дело.

(Напомним, что) ... все обвиняемые считаются невиновными, пока их вина не будет доказана в суде ...

Пояснения от Securitylab

Взяты из другого материала: securitylab.ru/news/548297.php.

Во время подготовки и выполнения атаки братья, среди прочего, предприняли следующие шаги:

• Создали серию валидаторов Ethereum, скрывая свои личности через подставные компании, промежуточные криптовалютные адреса, иностранные биржи и сети повышения приватности;
• Проводили серию тестовых транзакций, так называемых «приманок», чтобы выявить переменные, которые наиболее вероятно привлекут ботов MEV, ставших жертвами эксплуатации;
• Выявили и использовали уязвимость в коде MEV-Boost, которая привела к преждевременному раскрытию полного содержания предложенного блока;
• Переставили предложенный блок в свою пользу и опубликовали его в блокчейне Ethereum, что привело к краже у трейдеров криптовалюты на сумму около $25 млн.

Перевод дела

Сам текст опубликован по ссылке: justice.gov/opa/media/1351996/dl.

Наиболее интересен вот этот момент: "Обвиняемые, привлекли MEV-ботов жертв, предложив как минимум восемь конкретных транзакций («Транзакции-Ловушки» - ТЛ), которые, основываясь на подставных транзакциях...

Обвиняемые знали, что (их действия) приведут к тому, что MEV-боты жертв (отреагируют на) пакеты, включающие ТЛ.

ТЛ... привели к тому, что жертвы предложили примерно восемь пакетов, включающих ТЛ, которые были отправлены (через) создание блока.

В каждом из этих восьми пакетов жертвы фактически покупали значительные суммы неликвидных криптовалют (так называемые фронтран-сделки) ... на сумму примерно 25 миллионов долларов...

Жертвы также включили транзакцию (продажи) в каждый пакет, по которой они сразу после ТЛ (должны были продать) только что приобретённую криптовалюту по более высокой цене, чем купили её.

Важно отметить, что в пакеты жертв были включены закодированные условия, согласно которым фронтран-сделки не будут выполнены, если: (а) Ловушечные Транзакции произойдут непосредственно после фронтран-сделок; и (б) транзакции продаж произойдут непосредственно после Ловушечных Транзакций.

Затем (они) отправили предложенный блок с упорядоченными пакетами транзакций... (для валидации и завершения).

Чтобы совпасть во времени с ТЛ в период, когда один из 16 (???) валидаторов (братьев) был выбран для валидации предложенного блока, Обвиняемые... использовали одного из валидаторов («Зловредный Валидатор» - ЗВ), чтобы провалидировать — и модифицировать — предложенный блок, содержащий упорядоченные транзакции жертв-трейдеров, которые (создатель) блока конфиденциально представил...

(После того как был выпущен заголовок) блока для (указанного ранее) блока, содержащего упорядоченные транзакции жертв-трейдеров, Обвиняемые, использовали уязвимость в компьютерном коде ..., отправив ... ложную подпись («Ложная Подпись» - ЛП) вместо действительной цифровой подписи.

Основываясь на своих исследованиях (при) планировании Эксплойта, (Обвиняемые) знали, что информация, содержащаяся в Ложной Подписи, не могла быть проверена (для) окончательной публикации в блокчейне.

Вместо этого Ложная Подпись была разработана для того, чтобы обмануть ... и преждевременно раскрыть полное содержание предложенного блока ..., включая конфиденциальную информацию о транзакциях.

После получения упорядоченных транзакций жертв-трейдеров, обвиняемые модифицировали предложенный блок следующим образом:

1. Обвиняемые разрешили жертвам-трейдерам завершить свои покупные транзакции (т.е. их фронтран-сделки (!!!). Фактически, жертвы продали примерно 25 миллионов долларов в различных стейблкоинах или других более ликвидных криптовалютах для покупки неликвидных криптовалют.
2. Не соблюдая протоколов Релейера и системы MEV-Boost, обвиняемые заменили ТЛ модифицированными транзакциями («Модифицированные Транзакции» - МТ). В Модифицированных Транзакциях обвиняемые продали те же неликвидные криптовалюты, которые жертвы-трейдеры недавно приобрели в результате ТЛ и для которых обвиняемые уже располагали информацией, полученной через подставные транзакции. В обмен обвиняемые получили стейблкоины жертв или более ликвидные криптовалюты, которые использовались для покупки неликвидных криптовалют жертвами. Фактически, Модифицированные Транзакции высосали из соответствующих пулов ликвидности всю криптовалюту, которую жертвы-трейдеры депонировали на основе своих фронтран-сделок.
3. Неликвидные (же) криптовалюты, которые жертвы-трейдеры приобрели в рамках фронтран-сделок, фактически оказались бесценными, а 25 миллионов долларов в различных стейблкоинах или других более ликвидных криптовалютах, которые жертвы-трейдеры использовали для этих покупок, были похищены обвиняемыми через Модифицированные Транзакции.

(Таким образом), Обвиняемые, с использованием Зловредного Валидатора (ЗВ), опубликовали переупорядоченный блок с Модифицированными Транзакциями на блокчейне. [Прим. Menaskop: что в общем-то никак не влияет на целостность блокчейна, а действует в тех же рамках, что и сами MEV-боты].

На следующий день после (применения) Эксплойта, примерно 3 апреля 2023 года, Джеймс отправил электронное письмо представителю Банка-2 с запросом о банковской ячейке достаточного размера (для размещения ноутбука).

Через два дня после (применения) Эксплойта, примерно 5 апреля 2023 года, Джеймс отправил электронное письмо на Веб-сайт-1 с вопросом, предоставляет ли Веб-сайт-1 ... (определённые) IP-адреса для ...

Как отмечено в пункте 20, исходный код Релейера был размещен на Веб-сайте-1, и Антон получил доступ к Веб-сайту-1 примерно 12 декабря 2022 года.

Тем временем, в недели, следующие (после применения Эксплоита), Антон искал в интернете, среди прочего, "лучшие адвокаты по криптовалютнам", "сроки давности в США", "статья о мошенничестве... ", "база данных мошеннических адресов Ethereum" и "срок давности при отмывании денег".

Примерно между апрелем 2023 года и июнем 2023 года Обвиняемые, многократно контактировали с Жертвой-1, адвокатом Жертвы-1 или представителем от Ethereum, с просьбой вернуть похищенные средства. Однако вместо того, чтобы принять это (соглашение о возврате) украденных средств, обвиняемые согласились между собой "отмыть" (данные) доходы, (полученные преступным путём).

Примерно 2 апреля 2023 года... Обвиняемые получили примерно 25 миллионов долларов в различных криптовалютах, которые представляли собой доходы от мошенничества, на восемь отдельных адресов криптовалюты («Адреса Эксплойта» - АЭ).

Примерно (между) 3 апреля 2023 года и 6 апреля 2023 года обвиняемые перевели доходы от мошенничества с Адресов Эксплойта на... частный банковский счёт.

Примерно 23 октября 2023 года, около 20 миллионов долларов было переведено с банковского счета Pine Needle Bank Account-1 на другой банковский счёт ("Birch Bark Bank Account-1").

Примерно (между) 13 ноября 2023 года и 8 декабря 2023 года Обвиняемые перевели примерно 19,6 миллионов долларов на брокерский счёт с... Birch Bark Bank Account-1.

(Таким образом), Обвиняемые, а также другие известные и неизвестные лица, зная, что имущество, участвующее в финансовых транзакциях, представляет собой доходы от некоторой формы незаконной деятельности, проводили и пытались провести такую ... транзакцию, которая затрагивала меж-штатную и международную торговлю и включала использование финансового учреждения под номером 202301172709.

В результате совершения преступления... у Обвиняемых должно быть конфискованно всякое имущество, недвижимое и движимое, участвующее в указанном преступлении, (а также и) любое имущество, (приравненное) к такому имуществу, включая, но не ограничиваясь, сумму денег в долларах США, ... участвующей в (указанном) преступлении, и следующее конкретное имущество:

• Любые деньги, активы и средства, содержащиеся на счёте JPMorgan Chase;
• Любые деньги, активы и средства, содержащиеся на счёте Choice Bank;
• Любые деньги, активы и средства, содержащиеся на счёте ... под номером 202301172709.

Заключение

Итак, три важных вывода:

1. MEV-боты могут обманывать рядовых пользователей, но обманывать MEV-ботов нельзя. Да, понимаю, что это не заключение юриста, но крипто-энтузиаста, но оно таково и оно таковым останется.
2. Если вы работаете с криптоактивами - не надо их пробывать отмывать через фиатные средства: особенно - в США. Странно, что двое умных парней в 2022-2023 гг. этого не поняли.
3. И главное - в деле МНОГО пробелов: пока их пробую восстановить, а на сегодня это всё и

До!