Comment les frères du MIT auraient fraudé une pratique Ethereum néfaste mais acceptée pour 25 millions de dollars

Ils avaient tout planifié.

Fin 2022, les frères Peraire-Bueno, diplômés du Massachusetts Institute of Technologies (MIT) et passionnés de blockchain, se sont lancés dans une opération qui leur a finalement rapporté 25 millions de dollars, grâce à ONEune des exploitations les plus sophistiquées de ces dix dernières Crypto . D'emblée, selon les procureurs américains, ils ont élaboré un plan en quatre étapes.

Il y a d'abord eu « L'Appât », puis « Débloquer le bloc », suivi de « La Recherche », et enfin « La Propagation ».

« Dans les mois qui ont suivi, les accusés ont suivi chaque étape comme indiqué dans leur plan d'exploitation », selon unaccusation.

Le ministère américain de la Justice a inculpé mercredi deux frères, Anton Peraire-Bueno, 24 ans, et James Peraire-Bueno, 28 ans, pourexploiter une vulnérabilité dans un logiciel populaire utilisé par les robots de trading sur la blockchain Ethereum , générant des gains estimés à 25 millions de dollars au cours d'un exploit de 12 secondes dans Avril 2023.

Leur père est Jaime Peraire, l'ancien directeur du département d'aéronautique et d'astronautique du MIT,CNBC a rapporté.

Comment tout cela a-t-il fonctionné ?

L'exploit s'est produit grâce à une vulnérabilité que les frères ont découverte dans MEV-boost, un logiciel utilisé parenviron 90 % desles validateurs qui gèrent la blockchain, leur permettant de voir les transactions en blocs avant qu'elles ne soient officiellement envoyées aux validateurs.

MEV, ouvaleur extractible maximale, est parfois connu sous le nom de « taxe invisible » que les validateurs et les constructeurs peuvent collecter auprès des utilisateurs en réorganisant ou en insérant des transactions dans un bloc avant qu'elles ne soient ajoutées à la blockchain.

Parfois, cette pratique est comparée au frontrunning sur les Marchés boursiers traditionnels, mais en raison de la difficulté de l'éradiquer complètement, la communauté Ethereum a plus ou moins accepté cette pratique et a simplement essayé de minimiser les effets délétères.

ONEune de ces stratégies d’atténuation consiste à utiliser MEV-Boost, un logiciel utilisé par environ 90 % des validateurs Ethereum . L'idée est que tous les participants puissent gagner des MEV de manière plus équitable.

Cette attitude du type « c'est comme ça que ça se passe » a été explicitement reconnue par les procureurs dans leur acte d'accusation.

« La falsification de ces propositions MEV-Boost établies, sur lesquelles s'appuie la grande majorité des utilisateurs Ethereum , menace la stabilité et l'intégrité de la blockchain Ethereum pour tous les participants du réseau », selon l'acte d'accusation.

Bots, chercheurs, relais, bundles et constructeurs

Sur Ethereum, les utilisateurs soumettent des transactions qui sont ajoutées à un « mempool » – une zone où les transactions sont en attente.

MEV-boost permet aux « constructeurs de blocs » d'assembler ces transactions mempool à partir du mempool et de les mettre dans des blocs.

Ensuite, les robots MEV, ou « chercheurs », examinent le mempool et évaluent les transactions susceptibles de générer des profits. Ils peuvent même soudoyer les créateurs de blocs pour qu'ils réorganisent ou insèrent certaines transactions afin de générer des profits supplémentaires. Les validateurs Ethereum récupèrent ensuite ces blocs de MEV-boost et les intègrent à la chaîne, où ils deviennent irréversibles.

Toutes ces étapes sont généralement exécutées automatiquement par le logiciel en quelques fractions de secondes.

Ce que les frères Peraire-Bueno ont fait dans ce cas, c'est cibler trois robots MEV qui n'avaient T mis en place certains contrôles et mettre en place 16 validateurs conçus pour attirer les robots.

Lorsque les chercheurs regroupent des transactions, ils disposent d'une transaction cible, d'une transaction signée avant celle-ci et d'une transaction signée après.

« Les règles du jeu sont : « Eh bien, je vous donne ce bundle, et le bundle doit s'exécuter de manière atomique », ce qui signifie qu'il ne fonctionnera que si les trois transactions sont incluses exactement dans cet ordre, et toute autre chose que cela, cela ne fonctionnera pas », a déclaré Matt Cutler, le PDG de Blocknative, une société d'infrastructure blockchain, à CoinDesk dans une interview.

Parce que les frères ont mis en place des validateurs malveillants, leur intention a toujours été de saisir l’opportunité d’exploiter les robots qui n’avaient pas ces contrôles, en décomposant ces transactions.

« Parce que les transactions honeypot étaient très lucratives, et que les robots n'avaient T de contrôles en place pour empêcher certaines conditions de se produire, et qu'ils faisaient fondamentalement confiance à l'intégrité du validateur et à l'écosystème MEV-boost, le validateur malveillant a eu accès aux transactions signées qui étaient sécurisées et ils ont ensuite pu manipuler ces transactions signées pour drainer les robots de 25 millions de dollars de fonds », a déclaré Cutler.

« Fausses signatures »

Dans ses allégations, le gouvernement a tout fait pour démontrer que les activités – ciblant un point crucial du fonctionnement interne de la blockchain, à un niveau technique même pour les développeurs expérimentés de blockchain – s'écartaient des normes de la communauté et relevaient du domaine de la fraude.

Plus précisément, les frères étaient accusés d'avoir envoyé une « fausse signature » au lieu d'une signature numérique valide à un acteur crucial de la chaîne, appelé « relais ». Une signature est nécessaire pour révéler le contenu d'un bloc de transactions proposé, y compris tous les profits potentiels qu'il contient.

« Dans ce processus, un relais agit de manière similaire à un compte séquestre, conservant temporairement les données de transaction du bloc proposé, par ailleurs confidentielles, jusqu'à ce que le validateur s'engage à publier le bloc sur la blockchain conformément à la commande », ont écrit les procureurs. « Le relais ne communiquera les transactions du bloc proposé au validateur que lorsque celui-ci aura confirmé, par une signature numérique, qu'il publiera le bloc proposé, tel que structuré par le constructeur, sur la blockchain. »

Sur la base de leurs recherches et de leur planification, les procureurs ont allégué que les frères « savaient que les informations contenues dans la fausse signature étaient conçues pour tromper le Relay afin qu'il divulgue prématurément le contenu complet du bloc proposé aux accusés, y compris les informations sur la transaction privée », selon l'acte d'accusation.

Comme l’a dit Cutler : « Voler est voler, quels que soient les termes qui permettent ce vol. »

« Ce T parce que la portière de votre voiture est déverrouillée que vous pouvez entrer par effraction dans votre voiture, n'est-ce pas ? » a-t-il déclaré.

Ethereum est souvent sujet à certaines pratiques de trading MEV controversées, comme le front-running et ce qu'on appelle attaques sandwich. Mais de nombreuses personnalités de l’écosystème MEV considèrent l’exploit qui a eu lieu l’année dernière comme un pur vol.

Taylor Monahan, chef de produit principal chez MetaMask,écrit sur X« Oui, si vous volez et blanchissez 25 millions de dollars, vous devriez vous attendre à aller en prison pendant une longue période mdr. »

« On pourrait dire que c'est un BIT voler les voleurs, mais quoi qu'il en soit, il s'agissait clairement d'un exploit, d'une manipulation des règles, d'une manière qui est considérée comme une violation des lois établies de la juridiction, n'est-ce pas », a déclaré Cutler.

Presque pour souligner ce point, le gouvernement a allégué que dans les semaines qui ont suivi l'exploit, Anton Peraire-Bueno « a recherché en ligne, entre autres, « meilleurs avocats spécialisés en Crypto », « combien de temps est le délai de prescription américain », « délai de prescription pour fraude électronique », « base de données d'adresses Ethereum frauduleuses » et « délai de prescription pour blanchiment d'argent ».

L'accusation a également noté que le lendemain de l'exploit, James Peraire-Bueno a envoyé un e-mail à un représentant de la banque pour lui demander « un coffre-fort suffisamment grand pour contenir un ordinateur portable ».

Sur le même sujet : Des frères accusés d'un piratage Ethereum de 25 millions de dollars, alors que les États-Unis révèlent des accusations de fraude