2024年5月15日,美國司法部官網公佈了美國麻省理工學院兩兄弟涉嫌利用以太坊MEV攻擊竊取加密的案件。被告Anton Peraire-Bueno和James Peraire-Bueno創建漏洞攻擊計劃,透過欺騙受害交易員的MEV Bot,篡改交易並竊取約2500萬美元的加密貨幣。使用加密貨幣交易、機器人搜尋等手段,洗錢隱身操作,最終實施攻擊。案件揭露了以太坊、加密貨幣、MEV等相關概念,並闡述了攻擊過程和後續調查的細節,展示了數位貨幣領域的風險和挑戰。
撰文:金色財經小鄒
2024年5月15日,美國司法部官網公佈了與以太坊MEV相關的網路攻擊案件。
根據訴訟文件,美國麻省理工學院的兩兄弟被逮捕,雙方被指控涉嫌在以太坊上利用MEV 攻擊,在大約12 秒內(一個區塊驗證時間)竊取價值約2500 萬美元(喬丹)人民幣1.8億)的加密貨幣。據悉,這是第一個MEV 類案件被提起訴訟。
一、案件簡述
1. 被告Anton Peraire-Bueno(24 歲)和James Peraire-Bueno(28 歲)為兄弟,他們曾在美國最負盛名的大學之一的麻省理工學院學習數學和電腦科學。 Anton Peraire-Bueno 和James Peraire-布埃諾利用他們在學習期間習得的專業技能以及他們在加密貨幣交易方面的專業知識,利用以太坊區塊鏈的缺陷,以欺騙的方式從受害加密貨幣交易員那裡獲得了價值約2500萬美元的加密貨幣(漏洞攻擊)。 Anton Peraire-Bueno 和James Peraire-Bueno 透過此漏洞攻擊竊取和篡改了交易被驗證並添加到以太坊區塊鏈的流程和協議。透過這種方式,他們欺詐性地獲得了加密貨幣(漏洞攻擊)。待處理私人交易的存取權限,並利用該存取權限更改某些交易並取得受害者的加密貨幣。一旦被告竊取了受害者的加密貨幣,他們便拒絕了歸還被盜加密的請求,並採取許多措施掩蓋了他們的不義之財。
2. 被告Anton Peraire-Bueno 和James Peraire-Bueno 進行了漏洞攻擊策劃了數月之久。除此之外,他們還研究了解受害交易員的交易行為,他們最終竊取了這些交易員的加密貨幣在策劃漏洞攻擊時,他們還採取了許多措施來隱藏自己的身份,並為被盜收益奠定了基礎,包括建立皮包公司、使用多個私人加密貨幣地址和境外加密貨幣交易所。攻擊之後,攻擊者透過一系列交易轉移了被盜加密貨幣,這些交易旨在隱藏被盜資金的來源和聊天記錄。
3. 在整個漏洞攻擊的計劃、執行和後續過程中,國防部Anton Peraire-Bueno 和James Peraire-Bueno 仍在網上搜索瞭如何實施漏洞攻擊、如何隱藏他們參與漏洞利用的方法、有哪些KYC 程序要求大量的加密貨幣交易所允許他們利用進行清洗、使用加密貨幣案件的專業律師、引渡程序,以及本起訴書所指控的相關資訊。
二、加密貨幣、以太坊網路及MEV介紹
加密貨幣
4.加密貨幣是一種數位貨幣,使用密碼學的中心化系統驗證交易並維護交易記錄。與傳統的加密貨幣去一樣,加密貨幣也有多種類型。加密貨幣所有者通常將其加密貨幣儲存在數位「錢包」中,這些錢包透過唯一的電子地址識別。
5. 每筆加密貨幣交易都記錄在一個通常被稱為「區塊鏈」的公共帳本上,該帳本相當於公共會計記錄。除其他事項外,區塊鏈還記錄每筆加密貨幣交易的日期和時間,與交易相關的唯一加密貨幣地址以及所轉移的加密貨幣數量。與加密貨幣一樣,區塊鏈也有多種類型。
6.「區塊」是區塊鏈資料庫中的資料結構,交易資訊被永久記錄在其中。它們是區塊鏈的基本構建塊。
以太坊網絡
7.此處所描述的行為與以太坊網路有關。以太坊是一個去中心化區塊鏈,被全球數百萬人使用。從2023年開始,以太坊鏈上平均每天的交易量超過100萬筆。以太坊網路沒有中央參與者運行,而是透過一個去中心化的全球參與者網路運行的,該網路基於一套規則和協議運行。這些規則和協議通常透過「智能合約」(帶)有if/then 條件的電腦自動執行協議)執行,使交易能夠在無法可信的情況下在以太坊區塊鏈上進行。以太幣或“ETH”是以太幣上的原生加密貨幣。
8. 「驗證者」是以太坊網路的關鍵參與者。驗證者負責在添加到以太坊區塊鏈之前檢查新區塊是否有效。因此,坊坊的驗證流程確保以太坊區塊鏈的缺陷和安全性至關重要。要成為驗證者,驗證者必須在智能合約中「質押」或存入32 枚ETH。以太坊隨機選擇一個驗證者來驗證一個區塊;一旦選定,驗證者大約有12 秒的完成驗證過程的時間。為提示驗證以太坊區塊鏈上的新區塊,驗證者將獲得商定數量的加密貨幣(即構成新區塊的交易的最大可提取價值的特定部分),以及其他費用(包括此外,驗證者以新鑄造的ETH 形式獲得加密貨幣。
9.當用戶在以太坊區塊鏈上進行交易時,例如買入或賣出交易,該交易不會立即添加到區塊鏈中。但是,該筆待處理交易與其他待處理交易一起在“內存礦池”中等待,是公開可見的。只有在待處理交易然後到提議區塊中,由驗證者完成驗證之後,才會將待處理交易添加到區塊鏈。在一個區域區塊發佈到區塊鏈之後,該區塊關閉,不可更改或刪除。
MEV,搜尋者,建構者(Builder)和中繼
10. 記憶體礦池中的待處理交易不是按時間順序處理的,而是按照它們潛在的「最大可提取值」(MEV)處理的。 MEV 是在向區塊鏈發布新區塊時,透過包含、重新排序或修復交易可以獲得最大的價值。如果區塊建構協議之間沒有相互協調,驗證者的MEV機會的競爭通常會導致網路擁塞和不穩定。
11.「MEV-Boost」是一個開源軟體,旨在透過建立將交易組織分成區塊的協議來優化以太坊驗證者的區塊構建過程。大約90%的以太坊驗證者使用MEV-Boost。
12. 使用MEV-Boost,以太坊驗證者將區塊建置過程交給一個由「搜尋者」、「建構者」和「中繼」組成的網路。這些參與者根據隱私和承諾協議進行操作,目的是確保每個網路參與者——搜尋者、建構者、驗證者——以社群的方式交互,創造價值和網路效率最大化。
13.搜尋者實際上是使用自動機器人(「MEV Bot」)掃描公共記憶體礦池,以尋找有利的可圖的套利機會的交易者。在確定了有利的可圖的機會(例如,這將提高給定加密貨幣)貨幣的價格)之後,搜尋者向建構者發送提議交易「包」。此交易包通常由以下交易準確的順序組成:(a) 搜尋者的「搶跑」交易,搜尋者購買自己的預測價值會增加一定數量的加密貨幣;(b) MEV Bot 識別的記憶體礦池中將促進該加密貨幣價格上漲的待處理交易;以及(c) 搜尋者的出售交易,搜尋者以其最初的支付價格出售加密貨幣,以獲取交易利潤。建構者接收來自各個搜尋者的交易包,將它們編譯成一個提議區塊,以最大化驗證者的MEV。然後,建構者將提議區塊發送給「中」繼」,中繼從建構者接收提議區塊,並且最初只向驗證者提交「區塊頭」,其中包含驗證者將收到的因驗證者建構者建造的提議塊並獲得的獎勵支付資訊。只有在驗證者透過數位簽章做出驗證承諾之後,叢集才會將提議區塊的全部內容(即完整的社群交易清單)發送給驗證者。
14. 在此過程中,中繼以託管帳戶的方式相容,它會臨時維護知道區塊具體的交易數據,直到驗證者承諾區塊完全按順序發佈到區塊鏈。透過數位簽章確認將按照建構者的創建結構將建議區塊發佈到區塊鏈之後,集群將將建議區塊內的交易發布給驗證者。在建議區塊內的交易被發布給驗證者之前,它們保留非公開可見的氧氣狀態。
15.篡改這些被認為以太坊用戶所依賴的MEV-Boost協議,對所有網路參與者來說,會威脅到以太坊區塊鏈的穩定性和缺陷。
三、攻擊過程解密
16. 在幾個月的時間裡,被告Anton Peraire-Bueno 和James Peraire-Bueno 通過使用至少一個提出的計算機策劃並執行了漏洞攻擊,並為洗錢奠定了基礎。事實上,正如下面內容所解釋的那樣的,早在2022 年12 月左右,Anton Peraire-Bueno 和James Peraire-Bueno 就創建並在網上分享了一份該漏洞攻擊的計劃文件。
17. Anton Peraire-Bueno 和James Peraire-Bueno 採取了以下步驟來規劃並執行漏洞攻擊:(a) 建立一系列以太坊驗證者節點,透過使用皮包公司、加入加密貨幣地址、外匯和隱私層網路來隱藏其身分;(b) 部署一系列測試交易或「誘餌交易」,旨在識別最有可能吸引MEV Bot 的特定標記,這些機器人將成為漏洞攻擊的受害者(統稱為「受害交易員」); (c) 識別並利用Boost 終極程式碼中的漏洞,該漏洞導致串聯過早發佈建議區塊的全部內容;(d) 將建議區塊重新排序以獲得受益者受益;(e) 向以太坊區塊的全部內容;(d) 將建議區塊重新排序以獲得受益者受益;(e) 向以太坊區塊鏈發布重新排序的區塊,從受害交易員那裡竊取約2500萬美元的加密貨幣。
建立以太坊驗證節點
18. 2022年12月下旬,為了推進他們的漏洞攻擊計劃,防守方Anton Peraire-Bueno 和James Peraire-Bueno 成立了一家公司Pine Needle Inc(「Pine Needle」)。在公司註冊文件中,Anton Peraire-Bueno顯示為Pine Needle 的總裁,James Peraire-Bueno 是財務主管。在2023 年1 月4 日左右,Anton Peraire-Bueno 和James Peraire-Bueno 在一家銀行(「bank-1」)開設了一個銀行帳戶(「 Pine Needle Bank-1 帳戶」)。 Pine Needle Bank1 帳戶的部分資金來自防守方於2023 年1 月在另一家銀行(「bank-2」)的個人銀行帳戶裡的存款。 2023 年2 月,Anton Peraire -布埃諾在一個中心化加密貨幣交易所增加了一個帳戶(Pine Needle 交易所帳戶),防守用Pine Needle Bank-1 帳戶裡的為該帳戶提供存款資金。
19. 大約在防守方Anton Peraire-Bueno 和James Peraire-Bueno 為Pine Needle 更換銀行帳戶和加密貨幣帳戶的同時,防守方Anton Peraire-Bueno 在網上搜索了協議KYC 要求擴展的加密貨幣交易所和洗錢方式相關信息,包括具體搜索了“如何進行加密洗錢”和“沒有KYC 的cefi 交易所”。然後,大約在2023 年2 月28 日至2023 年3 月20 日之間,Pine Needle 交易所帳戶透過境外加密貨幣交易所或直接間接向大約14 個內部位址發送了大約529.5 ETH。在同一時期,這些內部地址向以太坊區塊鏈上的隱私層網路發送了相同數量的加密貨幣,使用戶能夠在該區塊鏈上有關隱藏其身份和資金來源的資訊。這些約529.5 ETH(時值約880,000 美元)另外被用於創建16 個以太坊驗證節點(「驗證者」),用於執行漏洞攻擊,如下所述。
誘騙受害交易員,辨識中繼中的漏洞
20. 在2022 年12 月12 日左右,被告Anton Peraire-Bueno 訪問了一個託管MEV-Boost 開源代碼特定的網站(索書備註“網站-1”,未披露網址),如下所述,該網站在漏洞攻擊期間受損,破壞了框架程式碼的缺陷。同月嚴重,Anton Peraire-Bueno 在網路上進行了與以太坊驗證者不當行為懲罰的相關搜索,這是執行漏洞攻擊的可預見後果。
21. 在2022 年12 月27 日左右,國防部長Anton Peraire-Bueno 和James Peraire-Bueno 共同創建了一份成功文件(「漏洞攻擊計劃」),其中概述了執行漏洞攻擊的四階段計劃。確定了四個階段:(1)誘餌,(2)監控(解除封鎖),(3)搜索,(4)傳播。在接下來的幾個月裡,被告的文件所列的一致每個階段執行漏洞攻擊計畫。
22. 關於「誘餌」,被告Anton Peraire-Bueno 和James Peraire-Bueno 針對三名受害交易員(「受害交易員1」、「受害交易員2」和「受害交易員3」),他們是專門操作的從事加密貨幣套利交易的MEV Bot 的搜尋者。在「誘餌」階段,國防部測試了一系列誘餌交易,受害交易員操作的MEV Bot 認為這些交易提供了有利的可圖的套利機會,導致受害交易員向建構者提議包含誘餌交易的交易包。在此過程中,顯示器普遍受到害交易員的MEV Bot 的交易行為。
執行漏洞攻擊
23. 在2023 年4 月2 日左右,國防部Anton Peraire-Bueno 和James Peraire-Bueno 實施了漏洞攻擊,透過該漏洞,他們從受害交易員那裡竊取了價值約2500 萬美元的加密貨幣。
24. 首先,被告Anton Peraire-Bueno 和James Peraire-Bueno 在收到16 個驗證者之一被選中驗證新區塊的通知後,透過提出至少8 個特定交易(「誘餌交易」)來誘騙受害交易員的MEV Bot,基於上述誘餌交易,感知到這些交易將導致受害交易員的MEV Bot 提議包含誘餌交易的交易包。事實上,誘餌交易確實導致受害交易員建議了大約8 個交易包,其中包含有了誘餌交易,這些交易包被提交給了建造者。在這8 個交易包中,受害交易員實際購買了大量流動性極低的加密貨幣(搶先交易),受害交易員預期這些加密的價格將因誘餌交易而上漲,這些誘餌交易的價值約為2500萬美元的各種價值與美元掛鉤的穩定幣,或其他流動性較強的加密貨幣。受害交易員每個仍在交易包中包含了一個出售交易,即受害交易員將在誘餌誘餌交易後立即以購買價的價格出售他們新獲得的加密貨幣。重要的是,受害交易員的交易包包含編碼條件是,即除非:(a) 誘餌誘餌交易緊接著搶先交易發生,或(b) 出售交易緊接著誘餌交易發生,否則不會執行搶先交易。者將依序包含社群交易包建置的建議區塊提交給堆積。
25. 其次,Anton Peraire-Bueno 和James Peraire-Bueno 將誘餌交易的時間與16 個驗證者中的一個被選中的驗證提議塊的時間設置一致,他們使用了一個驗證者(“惡意驗證者”)來驗證和篡改包含受害交易員交易的提議區塊,是區塊建構者私下提交給集群的。
26.再次,在中繼發布了包含受害交易員交易的建議區塊的區塊頭後,被告Anton Peraire-Bueno和James Peraire-Bueno利用中繼計算機代碼中的漏洞,向中繼發送了一個威脅簽名來代替有效的數位簽章。根據他們在漏洞攻擊之前的研究和計劃,Anton Peraire-Bueno 和James Peraire-Bueno 知道,威脅簽名中包含的資訊無法被驗證,無法最終發佈到區塊鏈上。這個比喻簽名被設計用於誘騙隊列,制定提前向防守方發佈建議區塊的全部內容,包括私人交易資訊。防守方在取得「受害交易員」的交易後,對建議區塊進行瞭如下篡改:
A。被告允許受害交易員完成他們的買入交易(即他們的搶先交易)。實際上,受害交易員出售了大約2500 萬美元的各種穩定幣或其他流動性更強的加密貨幣,用於購買特別緊急的資產。
b.被告違反了中繼協議和MEV-Boost系統,並用篡改交易取代了誘騙交易。在被竄改的交易中,被告出售了受害交易員剛剛因誘騙交易而購買的流動性加密貨幣,被告透過誘騙交易收集到的資訊已持有這些加密貨幣。作為交易所,國防部收到了受害交易員的穩定幣或流動性更高的加密貨幣,這些加密貨幣是用來購買非流動性加密的。實際上,被竄改的交易進度受到損害交易員基於其搶跑交易存入的所有加密的流動性礦池。
C。由於這些行為,受害交易員最終出售交易無法進行。受害交易員在前期交易中購買的非流動性加密貨幣實際上已經變得毫無價值,受害交易員用於購買這些交易的2500 萬美元各種穩定幣或其他流動性較強的加密貨幣已被透過篡改改交易竊盜來防禦。
27.最後。被告Anton Peraire-Bueno 和James Peraire-Bueno 使用惡意驗證者將包含篡改交易的重新排序的區塊發佈到區塊鏈上。
28. 在漏洞攻擊後的第二天,即2023年4月3日左右,被告James Peraire-Bueno給Bank-2的一名代表發了一封電子郵件,要求提供足夠大的可以投入一台筆記本電腦的辦公桌。在攻擊兩天后,大約2023年4月5日左右,James Peraire-Bueno給網站-1發了一封電子郵件,詢問網站-1是否可以訪問網站-1上託管公共存儲庫的個人提供訪問日誌的經審查IP位址。如第20段所述,中繼的源代碼託管在網站-1上,被告Anton Peraire-Bueno在2022年12月12日左右訪問了網站-1。
29. 同時,在漏洞攻擊發生後的幾週內,被告Anton Peraire-Bueno 在網路上搜尋了「頂級加密貨幣律師」、「美國的訴訟時效」、「電信詐欺訴訟時效」、「欺詐性以太坊」地址資料庫」和「洗錢時效」等資訊。
為此,Tony防禦者透過DAI、USDC之間的借貸、交易所等步驟加密貨幣,最終將USDC在多個交易所帳戶、銀行帳戶、證券和商家帳戶之間進行清理。
資訊來源:0x資訊編譯自網際網路。版權歸作者金色財經所有,未經許可,不得轉載