Paano Diumano'y Niloko ng MIT Brothers ang isang Noxious-But-Accepted Ethereum Practice sa halagang $25M

Naplano na nila ang lahat.

Noong huling bahagi ng 2022, ang magkapatid na Peraire-Bueno - dalawampu't isang taong nagtapos ng Massachusetts Institute of Technology na nakatutok sa blockchain - ay nagsimula sa isang pagsisikap na sa huli ay nakakuha sila ng $25 milyon, sa ONE sa mga pinaka-sopistikadong pagsasamantala sa isang dekada o higit pa sa madalas na pagsasamantala sa Crypto . Sa simula, ayon sa mga tagausig ng US, binalangkas nila ang isang apat na hakbang na plano.

Una ay mayroong "The Bait." Pagkatapos ay mayroong "Unblinding the block," na sinundan ng "The Search," at sa huli ay "The Propagation."

"Sa mga sumunod na buwan, sinundan ng mga nasasakdal ang bawat yugto na nakabalangkas sa kanilang Exploit Plan," ayon kay an sakdal.

Kinasuhan ng U.S. Department of Justice nitong Miyerkules ang magkapatid na sina Anton Peraire-Bueno, 24, at James Peraire-Bueno, 28, para sa pagsasamantala sa isang kahinaan sa isang sikat na software program ginagamit ng mga bot sa pangangalakal sa Ethereum blockchain, na nakakuha ng tinatayang $25 milyon ng mga nadagdag sa loob ng 12 segundong pagsasamantala sa Abril 2023.

Ang kanilang ama ay si Jaime Peraire, ang dating pinuno ng departamento ng aeronautics at astronautics ng MIT, Iniulat ng CNBC.

Paano nangyari ang lahat?

Nangyari ang pagsasamantala salamat sa isang kahinaan na natuklasan ng magkapatid sa MEV-boost, isang piraso ng software na ginagamit ng humigit-kumulang 90% ng mga validator na nagpapatakbo ng blockchain, na nagpapahintulot sa kanila na makita ang mga transaksyon sa mga bloke bago sila opisyal na ipadala sa mga validator.

MEV, o pinakamataas na na-extract na halaga, kung minsan ay kilala bilang isang "invisible tax" na maaaring kolektahin ng mga validator at builder mula sa mga user sa pamamagitan ng muling pagsasaayos o paglalagay ng mga transaksyon sa isang block bago sila idagdag sa blockchain.

Minsan ang pagsasanay ay inihambing sa frontrunning sa mga tradisyonal na stock Markets, ngunit dahil sa kahirapan ng ganap na pagtanggal nito, ang komunidad ng Ethereum ay higit pa o mas kaunti ang tinanggap ang kasanayan, at sinubukan lamang na bawasan ang mga nakakapinsalang epekto.

ONE sa mga nagpapagaan na estratehiya ay sa pamamagitan ng paggamit ng MEV-Boost, isang software program ginagamit ng humigit-kumulang 90% ng mga validator ng Ethereum . Ang ideya ay ang lahat ng darating ay maaaring kumita ng MEV nang mas pantay.

Ang ganitong-gano-paano-nagawa na saloobin ay tahasang kinilala ng mga tagausig sa kanilang dokumento sa pagsingil.

"Ang pakikialam sa mga itinatag na panukalang MEV-Boost na ito, na umaasa sa karamihan ng mga gumagamit ng Ethereum , ay nagbabanta sa katatagan at integridad ng Ethereum blockchain para sa lahat ng kalahok sa network," ayon sa akusasyon.

Mga bot, naghahanap, relay, bundle at tagabuo

Sa Ethereum, ang mga user ay nagsusumite ng mga transaksyon na idinagdag sa isang "mempool" – isang lugar kung saan ang mga transaksyon ay nasa isang holding pattern.

Ang MEV-boost ay nagbibigay-daan sa "block builders" na tipunin ang mga transaksyong mempool mula sa mempool at ilagay ang mga ito sa mga bloke.

Pagkatapos, ang mga MEV bot, o "mga naghahanap," ay tumitingin sa mempool at tinatasa kung aling mga transaksyon ang maaaring kumita ng mga trade, at kung minsan ay sinusuhulan ang mga block builder na iyon upang muling ayusin o ipasok ang ilang partikular na transaksyon upang kumita ng ilang karagdagang kita. Pagkatapos ay kukunin ng mga validator ng Ethereum ang mga bloke na iyon mula sa MEV-boost at i-ink ang mga ito sa chain, kung saan ang mga ito ay nagiging irreversible.

Ang lahat ng mga hakbang na ito ay karaniwang awtomatikong isinasagawa ng software sa mga fraction ng segundo.

Ang ginawa ng magkapatid na Peraire-Bueno sa kasong ito ay nag-target ng tatlong MEV bot na T tiyak na mga pagsusuri, at nag-set up ng 16 na validator na idinisenyo upang akitin ang mga bot.

Kapag pinagsama-sama ng mga naghahanap ang mga transaksyon, mayroon silang target na transaksyon, nilagdaang transaksyon bago ito, at nilagdaang transaksyon pagkatapos nito.

"Ang mga patakaran ng laro ay, 'Buweno, ibinibigay ko sa iyo ang bundle na ito, at ang bundle ay kailangang isagawa nang atomically,' ibig sabihin ay mapupunta lamang ito kung ang lahat ng tatlong mga transaksyon ay kasama sa eksaktong pagkakasunud-sunod na ito, at anumang bagay kaysa doon, hindi ito gagana," Matt Cutler, ang CEO ng Blocknative, isang blockchain infrastructure firm, sinabi sa CoinDesk sa isang panayam.

Dahil nag-set up ang magkapatid na mga malisyosong validator, ang kanilang layunin ay palaging samantalahin ang pagkakataong pagsamantalahan ang mga bot na walang mga tsekeng iyon, sa pamamagitan ng paghihiwalay sa mga transaksyong iyon.

“Dahil napakalaki ng mga transaksyon sa honeypot, at ang mga bot T mga tseke para maiwasang mangyari ang ilang partikular na kundisyon, at sa panimula nilang pinagkakatiwalaan ang integridad ng validator at MEV-boost ecosystem, ang malisyosong validator ay nakakuha ng access sa mga pinirmahang transaksyon na na-secure at pagkatapos ay nagawa nilang manipulahin ang mga pinirmahang transaksyong iyon,” sabi ng mga bot ng $25 milyon.

'Mga maling pirma'

Sa mga paratang nito, ginawa ng gobyerno ang paraan upang ipakita na ang mga aktibidad – na nagta-target sa isang mahalagang bahagi ng panloob na gawain ng blockchain, sa isang antas na teknikal kahit para sa mga may karanasan na mga developer ng blockchain – ay lumihis sa mga pamantayan ng komunidad, at sa larangan ng pandaraya.

Sa partikular, ang magkapatid ay inakusahan ng pagpapadala ng "false signature" bilang kapalit ng valid digital signature sa isang mahalagang player sa chain na kilala bilang "relay." Kailangan ng pirma upang ipakita ang mga nilalaman ng isang iminungkahing bloke ng mga transaksyon – kasama ang lahat ng potensyal na kita na nasa loob ng bundle.

"Sa prosesong ito, ang isang relay ay kumikilos sa paraang katulad ng isang escrow account, na pansamantalang nagpapanatili ng kung hindi man ay pribadong data ng transaksyon ng iminungkahing bloke hanggang ang validator ay gumawa ng pag-publish ng block sa blockchain nang eksakto tulad ng iniutos," ang isinulat ng mga tagausig. "Hindi ilalabas ng relay ang mga transaksyon sa loob ng iminungkahing bloke sa validator hanggang sa makumpirma ng validator sa pamamagitan ng isang digital signature na ilalathala nito ang iminungkahing bloke, ayon sa pagkakaayos ng tagabuo, sa blockchain."

Batay sa kanilang pagsasaliksik at pagpaplano, inakusahan ng mga tagausig, "alam ng magkapatid na ang impormasyong nakapaloob sa maling pirma ay idinisenyo upang, at ginawa, linlangin ang Relay na maagang ilabas ang buong nilalaman ng iminungkahing bloke sa mga nasasakdal, kabilang ang impormasyon ng pribadong transaksyon," ayon sa sakdal.

Gaya ng sinabi ni Cutler, "Ang pagnanakaw ay pagnanakaw, anuman ang mga terminong nagbibigay-daan sa pagnanakaw na iyon."

"Dahil lang naka-unlock ang pinto ng kotse mo, T ibig sabihin okay lang na pasukin mo ang kotse mo, di ba?" sabi niya.

Ang Ethereum ay madalas na madaling kapitan sa ilang kontrobersyal na mga kasanayan sa kalakalan ng MEV, tulad ng front-running at tinatawag na pag-atake ng sanwits. Ngunit tinitingnan ng maraming nangungunang figure sa MEV ecosystem ang pagsasamantalang naganap noong nakaraang taon bilang purong pagnanakaw.

Taylor Monahan, isang lead product manager sa MetaMask, nagsulat sa X na "Oo, kung magnakaw ka at maglabada ng $25 milyong dolyar dapat mong asahan na makulong nang mahabang panahon lmfao."

"Ito ay isang BIT na pagnanakaw sa mga magnanakaw na maaari mong sabihin, ngunit hindi alintana ito ay malinaw na isang pagsasamantala, isang pagmamanipula ng mga hanay ng panuntunan, sa paraang nakikitang lumalabag sa mga itinatag na batas ng hurisdiksyon, tama," sabi ni Cutler.

Halos upang bigyang-diin ang punto, sinabi ng gobyerno na sa mga linggo kasunod ng pagsasamantala, si Anton Peraire-Bueno ay "naghanap online para sa, bukod sa iba pang mga bagay, 'nangungunang mga abogado ng Crypto ,' 'gaano tayo katagal [sic] ng mga limitasyon,' 'wire fraud statute / wire fraud statute [sic] of limitations,' 'fraudulent ' statue of Ethereumtuneys mga limitasyon.'"

Nabanggit din ng prosekusyon na isang araw pagkatapos ng pagsasamantala, nag-email si James Peraire-Bueno sa isang kinatawan ng bangko na humihingi ng "para sa isang safe deposit box na sapat na malaki upang magkasya sa isang laptop."

Read More: Mga Kapatid na Inakusahan ng $25M Ethereum Exploit habang Ibinunyag ng US ang Mga Singilin sa Panloloko