Hai sinh viên MIT bị cáo buộc khai thác lỗ hổng blockchain Ethereum, đánh cắp 25 triệu USD

Khi mọi người nghĩ đã chứng kiến đủ các hình thức trộm cắp tiền điện tử, hai anh em đang theo học tại MIT lại phát hiện một phương thức hoàn toàn mới để đánh cắp hàng triệu đô la.

Theo thông báo của Bộ Tư pháp Mỹ (DOJ) vào hôm thứ Tư, Anton Peraire-Bueno và James Peraire-Bueno đã bị buộc tội âm mưu lừa đảo qua mạng, gian lận qua mạng và âm mưu rửa tiền. Hai anh em này bị cáo buộc đã tìm ra cách khai thác blockchain Ethereum và đánh cắp 25 triệu USD tiền mã hoá.

"Theo cáo buộc của chúng tôi, hành vi của các bị cáo đặt ra câu hỏi về chính tính toàn vẹn của blockchain," Công tố viên Damian Williams thuộc Quận Nam New York cho biết. "Hai anh em, là sinh viên ngành khoa học máy tính và toán học tại một trong những trường đại học danh tiếng nhất thế giới, bị cáo buộc đã sử dụng kỹ năng và kiến thức chuyên môn để can thiệp và thao túng các giao thức mà hàng triệu người dùng Ethereum trên toàn cầu đang sử dụng."

"Khi họ thực hiện kế hoạch, vụ việc chỉ diễn ra trong 12 giây," Williams nói thêm. "Phương thức bị cáo buộc này là mới và chưa từng bị truy tố trước đây."

Chi tiết cách hai sinh viên MIT khai thác lỗ hổng blockchain Ethereum

Mặc dù một phần trong kế hoạch của hai anh em chỉ mất 12 giây, bản cáo trạng của DOJ cho thấy họ đã lên kế hoạch và chuẩn bị kỹ lưỡng trong nhiều tháng trước khi thực hiện hành vi.

Trên blockchain Ethereum, các giao dịch không được xác thực theo thứ tự thời gian, mà theo "giá trị có thể khai thác tối đa" hay MEV - đây là lượng giá trị mà người xác thực có thể thu được từ giao dịch. Người xác thực có nhiệm vụ kiểm tra các giao dịch và thêm các khối mới vào blockchain.

Theo DOJ, hai sinh viên MIT đã khai thác một lỗ hổng trong MEV-Boost, một phần mềm mã nguồn mở được 90% người xác thực Ethereum sử dụng. Sau khi phát hiện ra lỗ hổng, Anton và James Peraire-Bueno đã thiết lập nhiều nút xác thực thông qua các công ty vỏ bọc để che giấu danh tính. DOJ cho biết hai người đã mất "vài tháng" để chuẩn bị cho kế hoạch này.

Hai anh em bắt đầu bằng cách tạo ra các "giao dịch mồi" nhằm thu thập thông tin về hành vi giao dịch của các nạn nhân.

Vào tháng 4/2023, họ thực hiện vụ đánh cắp 25 triệu USD bằng cách sử dụng 8 giao dịch chứa "tiền mã hoá thanh khoản thấp" để can thiệp vào quá trình giao dịch và sau đó chuyển đổi thành stablecoin và các loại tiền mã hoá thanh khoản cao khác. Các giao dịch này được định thời để được xác thực bởi một trong các nút của họ.

Tiếp theo, họ giả mạo chữ ký điện tử để lấy thông tin giao dịch từ hệ thống chuyển tiếp blockchain và thao túng những thông tin này. Kết quả là, hai anh em đã chiếm đoạt được 25 triệu USD và thực hiện các bước tiếp theo để che giấu hành vi.

"Hai anh em này bị cáo buộc đã thực hiện một vụ thao túng blockchain Ethereum chưa từng có tiền lệ," Đặc vụ Phụ trách Thomas Fattorusso thuộc Văn phòng New York của IRS Criminal Investigation (IRS-CI) phát biểu.

Theo DOJ, họ để lại nhiều bằng chứng, bao gồm tài liệu mô tả chi tiết phương thức thực hiện, chia thành "bốn giai đoạn:" Đánh mồi, Làm lộ khối, Tìm kiếm và Lan truyền.

Trong những tuần và tháng sau đó, lịch sử tìm kiếm của hai anh em cho thấy các truy vấn về "luật sư tiền mã hoá hàng đầu", "thời hiệu truy tố lừa đảo qua mạng", "rửa tiền", và các tìm kiếm liên quan đến hiệp định dẫn độ giữa các quốc gia với Mỹ.

Mỗi tội danh mà họ đối mặt có thể bị phạt tù lên đến 20 năm.