Il Dipartimento di Giustizia degli Stati Uniti ha accusato due fratelli di aver sfruttato il software open source utilizzato nel mondo blockchain di Ethereum per incassare 25 milioni di dollari (20 milioni di sterline).
I due – scienziati informatici Anton, 24 anni, di Boston, e James Pepaire-Bueno, 28, di New York – sono accusati di portare avanti quello che il vice procuratore generale Lisa Monaco ha definito un “progetto tecnologicamente sofisticato e all’avanguardia che avevano pianificato per mesi. “
“Il piano degli imputati mette in discussione l’integrità stessa della blockchain”, ha aggiunto l’avvocato statunitense Damian Williams.
“I fratelli, che hanno studiato informatica e matematica in una delle università più prestigiose del mondo, avrebbero usato le loro competenze specialistiche e la loro istruzione per manomettere e manipolare i protocolli su cui fanno affidamento milioni di utenti di Ethereum in tutto il mondo. E una volta messi in il loro piano in azione, la loro rapina ha richiesto solo 12 secondi.”
Alcuni retroscena
Le blockchain di criptovaluta, inclusa quella dietro Ethereum e la sua moneta nativa Ether, sono praticamente un file di registro dei trasferimenti decentralizzato di sola aggiunta e utilizzano la crittografia per mantenere l’integrità del registro. Ciò rende una blockchain essenzialmente un registro pubblico di ogni singola transazione che avviene, e gli utenti possono effettuare transazioni solo con il denaro di cui effettivamente dispongono. Queste transazioni sono raggruppate in blocchi concatenati insieme, da cui il nome.
E un sacco di criptovalute – dalle stablecoin come Tether, ancorate a un dollaro USA ciascuna, alle monete meme sulle montagne russe come Shiba Inu e Pepe – utilizzano la blockchain di Ethereum; non è solo Etere.
La gestione della blockchain di Ethereum è affidata ai validatori, che sono tipicamente sistemi automatizzati diretti da operatori umani. Come suggerisce il nome, i bot validatori attestano che i blocchi proposti di transazioni Ethereum sono validi e inviano tali blocchi a un comitato di altri validatori per approvarli tramite voto e aggiungerli in modo sicuro alla catena.
In generale, i validatori devono puntare ciascuno 32 Ether (equivalenti in questo momento a $ 100.000). Quando viene scelto casualmente per proporre un nuovo blocco per la catena, un validatore ha circa 12 secondi per completare l’operazione e offrire un blocco valido ai suoi peer da verificare e accettare per la catena. Se i validatori si comportano male, rischiano di perdere la puntata; se si comportano come previsto, vengono ricompensati.
In pratica diventa un po’ più complicato. Da dove provengono principalmente questi blocchi proposti? Ebbene, in attesa della conferma sulla blockchain, le transazioni in sospeso si trovano in un’area pubblica chiamata pool di memoria o mempool. I robot chiamati ricercatori esaminano quelle transazioni in sospeso e, utilizzando algoritmi divertenti, assemblano pacchetti di transazioni che i robot costruttori possono assemblare insieme in blocchi affinché i validatori possano considerarli per la catena. In effetti, i robot costruttori possono anche utilizzare algoritmi interessanti per combinare e ottimizzare i pacchetti di più ricercatori per creare questi blocchi di transazioni proposti.
I costruttori riceveranno una ricompensa in termini di commissioni e altre fonti quando i blocchi proposti entreranno nella catena, e i validatori che approvano i blocchi ottengono una riduzione di quel reddito.
È nell’interesse dei validatori scegliere i blocchi più redditizi, è nell’interesse dei costruttori costruire blocchi che appaiano attraenti per i validatori e gli utenti della blockchain pagano commissioni per far sì che le loro transazioni vengano ritirate. I costruttori e i loro ricercatori possono ordinare le transazioni nei blocchi come ritengono opportuno; le transazioni vengono eseguite in quell’ordine quando il blocco ottiene il via libera.
I costruttori offrono i blocchi proposti ai validatori tramite relè. I relè forniscono solo informazioni sufficienti ai validatori affinché tali bot possano determinare quanto possono guadagnare dall’accettare un particolare blocco, e non le specifiche delle transazioni; quando un validatore accetta un blocco per l’elaborazione, ottiene tutti i dettagli dal relè per analizzarli e attestarli. Nove bot validatori su dieci utilizzano un programma open source chiamato MEV-Boost per comunicare con più relè per selezionare il blocco più gratificante da un’intera gamma di costruttori in competizione per un pagamento.
Questo design dovrebbe essere resistente alla manipolazione e ad altri imbrogli, garantendo al tempo stesso che tutti questi operatori di bot vengano pagati per mantenere attivo questo sistema decentralizzato. Tuttavia, secondo un atto d’accusa [PDF] aperto mercoledì, i fratelli hanno sfruttato una debolezza nel codice del progetto MEV-Boost per guadagnare milioni in criptovalute.
Il MEV in MEV-Boost sta per Valore massimo o massimo estraibile ed è abbastanza complesso, ma essenzialmente è ciò che i validatori, i costruttori e i loro ricercatori possono fare creando, proponendo e attestando un blocco di transazioni accuratamente selezionate e ordinate da il buffer di memoria. E come abbiamo detto, ci sono vari modi in cui questi partecipanti possono guadagnare denaro da questo processo di convalida.
Ad esempio, non c’è nulla che impedisca ai ricercatori di Mempool di effettuare arbitraggi valutari. Un bot di ricerca può registrare dalle transazioni mempool che gli utenti stanno acquistando una particolare criptovaluta, il che aumenterà il valore di mercato di quel token. Il ricercatore può formare un insieme di transazioni che inizia con l’acquisizione della criptovaluta da parte dell’operatore del bot, quindi include le transazioni mempool in sospeso di altre persone per quella moneta e termina con la vendita della moneta da parte del bot. Se quel pacchetto accuratamente organizzato entra in un blocco offerto e viene scelto da un validatore e accettato nella catena, le transazioni vengono eseguite in ordine e il ricercatore può trarre profitto dalla vendita della moneta a un prezzo più alto di quello acquistato. man mano che il valore di mercato aumentava durante il processo. Il ricercatore può offrirsi di pagare i costruttori di blocchi per utilizzare il suo pacchetto sapendo che otterrà comunque un profitto.
I ricercatori e i costruttori impostano l’ordine delle transazioni in un blocco proposto, ma lo stesso possono fare i validatori: un validatore scelto dal sistema per fornire il blocco successivo può agire da solo e offrire il proprio blocco per l’approvazione del comitato. Ecco perché i relè di solito trattengono tutti i dettagli dei blocchi proposti finché un validatore non promette, utilizzando una firma digitale secondo il Dipartimento di Giustizia degli Stati Uniti, di attestare il blocco scelto. Altrimenti, un validatore potrebbe esaminare tutti i blocchi proposti, sceglierne uno redditizio, quindi creare il proprio blocco basato su quello offerto e passarlo al comitato per accettarlo, fregando ricercatori e costruttori prendendo i premi.
Mettere a segno una “rapina da 25 milioni di dollari in 12 secondi”
I pubblici ministeri sostengono che la coppia ha trovato un difetto nel codice di relè del progetto MEV-Boost che potrebbe essere sfruttato per rilasciare prematuramente tutti i dettagli di un blocco proposto. Pertanto, i due presumibilmente hanno creato validatori che hanno sfruttato un relè per consegnare un blocco completo proposto troppo presto, hanno riorganizzato l’elenco delle transazioni a proprio vantaggio e hanno inviato il blocco per l’approvazione del comitato, ottenendo loro una notevole manna.
La denuncia afferma che una società di comodo chiamata Pine Needle Inc è stata fondata nel dicembre 2022 dai fratelli per svolgere le loro attività bancarie e di scambio di criptovalute. In particolare, non volevano fare affari con exchange di criptovalute che adottavano una politica “conosci il tuo cliente” e che eseguivano ricerche online su “come lavare le criptovalute” e “exchange Cefi senza KYC”, affermano i documenti giudiziari. Gli uomini hanno anche effettuato una serie di transazioni per osservare come hanno reagito i ricercatori gestiti da tre particolari trader.
Tra febbraio e marzo dell’anno successivo, secondo la denuncia, la coppia di fratelli ha inviato 529,5 monete Ether (del valore di 880.000 dollari all’epoca) alla rete Ethereum e ne ha utilizzati 512 per picchettare 16 validatori a 32 Ether ciascuno.
Il 2 aprile hanno deciso di mettere in atto l’exploit, hanno detto i pubblici ministeri. Innanzitutto, i due hanno aspettato che uno dei loro validatori venisse selezionato casualmente per fornire il blocco successivo per la catena Ethereum. Dopodiché, si dice che abbiano effettuato otto ordini per criptovalute particolarmente illiquide.
I ricercatori automatizzati dei tre trader hanno abboccato, si sostiene, e hanno offerto pacchetti di transazioni ai block builder che miravano a ottenere quanto segue: acquistare 25 milioni di dollari di quelle criptovalute illiquide utilizzando stablecoin e altri asset liquidi, eseguire le transazioni dei fratelli e quindi vendi quella criptovaluta a un prezzo più alto e intasca la differenza.
Quella proposta è arrivata al validatore del fratello tramite un relè, si dice, e il validatore avrebbe sfruttato quel relè – inviandogli una firma digitale dubbia – che gli ha fatto rivelare l’intero contenuto del blocco proposto. Il validatore avrebbe quindi alterato l’elenco delle transazioni per: consentire ai trader di acquistare quella criptovaluta illiquida; e vendere tutte le partecipazioni dei fratelli di quelle monete illiquide – quelle appena comprate come esca e quelle derivanti dalle osservazioni di cui sopra.
Il blocco presumibilmente modificato è stato inviato per la verifica tramite voto della commissione e accettato nella catena. In effetti, ci viene detto, ha indotto i trader ad acquistare la criptovaluta illiquida dal duo, che ha ottenuto in cambio 25 milioni di dollari in stablecoin e altre attività liquide. I commercianti, nel frattempo, hanno ottenuto una montagna di monete ora altamente illiquide che improvvisamente sono diventate piuttosto prive di valore; la Fed ha affermato che il pool di liquidità per la criptovaluta è stato prosciugato.
Si dice che quei 25 milioni di dollari siano andati via dalle mani dei trader in soli 12 secondi. Per quanto riguardava il mondo Ethereum in quel momento, l’accordo era tutto regolare. I dettagli del presunto exploit non sono stati divulgati dai federali e stiamo esaminando se il buco, come descritto, sia stato già riparato.
Mi sento sfortunato, Google
Il giorno dopo la presunta rapina, si dice che James Peraire-Bueno abbia chiesto a una delle banche della società di copertura una cassetta di sicurezza abbastanza grande da contenere un laptop. Il giorno successivo, sostengono i federali, avrebbe anche chiesto agli operatori del sito web che ospitava il codice sorgente di MEV-Boost la loro politica sulla registrazione degli indirizzi IP dei visitatori.
Nel frattempo, secondo la denuncia, Anton Peraire-Bueno ha cercato online i “migliori avvocati del settore cripto” e ha chiesto cose come “quanto dura la nostra statua?” [sic] delle limitazioni” per reati quali frode telematica e riciclaggio di denaro.
Se fosse vero, significherebbe che i fratelli hanno ideato un piano tutt’altro che infallibile, nonostante siano stati presumibilmente in grado di trarre vantaggio da un exploit multimilionario.
La denuncia prosegue sostenendo che una vittima dello scambio, il suo avvocato e un rappresentante del progetto Ethereum hanno tentato di convincere i fratelli Peraire-Bueno a restituire i loro guadagni. Si continua sostenendo che, invece di dire la verità, hanno proceduto a riciclare il denaro attraverso diversi canali. Circa 3 milioni di dollari sarebbero stati congelati dalle forze dell’ordine straniere.
Nel frattempo, 20 milioni di dollari sarebbero stati incanalati in un’altra società di copertura, la Birch Bark Trading LLC, sostiene la denuncia. Da lì, la coppia avrebbe dovuto spostarlo sul proprio conto di intermediazione. Secondo i federali non sapevano come farlo, né quali sarebbero state le conseguenze. I documenti del tribunale affermano che le loro ricerche su Google includevano cose come “riciclaggio di denaro” e “gli Stati Uniti estradano in [foreign country].” Ci è stato detto che entro l’8 dicembre sul conto di intermediazione erano arrivati 19,6 milioni di dollari.
I pubblici ministeri hanno annunciato gli arresti della coppia questa settimana. Entrambi gli uomini, accusati di associazione a delinquere finalizzata a commettere frode telematica, frode telematica e associazione a delinquere finalizzata al riciclaggio di denaro, rischiano potenzialmente una pena detentiva fino a 20 anni per ciascuno dei tre capi di imputazione. In caso di condanna, dovranno inoltre rimborsare eventuali guadagni illeciti. ®
