Два брата украли 25 миллионов долларов за 12 секунд

Используя уязвимости в блокчейне Ethereum.

Согласно обвинительному заключению, выпущенному департаментом юстиции США в минувшую среду, два брата и, по совместительству студента одного из престижнейших высших учебных заведений США - MIT, Антон и Джеймс Перайре-Буэно, арестованные днём ранее, обвиняются в умышленном вмешательстве в работу систем блокчейна Ethereum, приведшему к незаконному обогащению братьев на 25 миллионов USD.

Это [схема, использованная братьями для совершения преступления] было сделано настолько грамотно и утончённо, что ставит под сомнение целостность и надёжность блокчейна Ethereum в принципе.
Дэмиан Вильямс, прокурор департамента юстиции правительства США

Суть метода, использованного братьями, заключалась в том, чтобы манипулировать процессом валидации транзакций пользователей в момент, когда они были уже были проведены, но ещё не были добавлены в блокчейн, - для этого братья создали подконтрольную сеть валидаторов, используя подставные компании и иностранные биржи, чтобы добиться максимальной анонимности при выводе денежных средств, а так же размещали транзакции-приманки для привлечения специальных ботов, специализирующихся на поиске "выгодных предложений". Когда эти боты "клевали" на наживку, в ход вступали валидаторы, созданные Антоном и Джеймсом, которые, используя уязвимость в процессе валидации, переупорядочивали порядок блоков в транзакции перед добавлением её в блокчейн таким образом, чтобы транзакция в итоге проходила в пользу братьев. [Примечание пипидастра: я не очень шарю за блокчейн и вот это вот всё, поэтому если я криво перевёл суть процесса/термины - напишите в комментах, поправлю.]

На подготовительную работу у братьев ушло около полугода. На захват 25 миллионов USD с момента запуска всего механизма в работу ушло 12 секунд.

Братья Перайре-Буэно.

В обвинительном заключении так же указано, что история поисковых запросов братьев включала в себя такие фразы, как "как отмыть крипту", "криптообмен без KYC [Know Your Customer - аналог "Знай своего контрагента"]", а так же "топ крипто-юристов", "сроки давности по отмыванию денег" и "экстрадируют ли из США в <имя_страны>".

Примечательно, что поимка, заключение под стражу и выпуск официального заявления по этому поводу от соответствующих правительственных органов США произошли в том же месяце, когда государственная комиссия по безопасности и обмену (Securities and Exchange Commission - SEC) должна вынести решение по одобрению или отказу использования ETF (ethereum exchange-traded fund).

Отсюда: https://arstechnica.com/tech-policy/2024/05/sophisticated-25m-ethereum-heist-took-about-12-seconds-doj-says/