Справа з Ботами MEV: злочин з використанням правил пулу активів Ethereum

Суть цієї справи не лише в простому отриманні прибутку від роботи MEV Ботів, а в тому, що двоє чоловіків з США скористалися вразливістю MEV Ботів, здійснивши “Хакерський напад” та реалізувавши вимагання, сума справи становить близько 25 мільйонів доларів.

!

Один. Основна інформація

Залучені особи: Anton Peraire-Bueno (24 роки) та James Peraire-Bueno (28 років), обидва є братами, випускниками Массачусетського технологічного інституту. Міністерство юстиції США висунуло проти них звинувачення у змові з метою вчинення телефонного шахрайства, телефонного шахрайства та змови з метою відмивання грошей.

Їх основні злочинні дії полягали в тому, що вони, використовуючи відкриту природу “верифікаторів” на блокчейні Ethereum та системи MEV (максимально витягувана вартість), спланували та виконали складну атаку, “викравши” криптовалюту з транзакцій, які чекали на обробку, а потім шантажували жертв, сума справи близько 25 мільйонів доларів криптовалюти. Особи, пов'язані з цією справою, були заарештовані та обвинувачені у травні 2024 року, наразі справа розглядається в суді, і їм загрожує до 20 років ув'язнення.

Два, ключові деталі

Щоб зрозуміти цю справу, потрібно усвідомити кілька ключових концепцій:

MEV (Максимально витягувана вартість): На блокчейні, максимальний прибуток, який можна отримати шляхом налаштування, включення або виключення порядку транзакцій. Типові дії з MEV включають арбітраж і ліквідацію. Легальні оператори MEV Боти змагаються за вигідні місця для транзакцій, сплачуючи високі Gas-кошти.

Торговий мемпул (Mempool): Публічний пул транзакцій, що чекає на упаковку в блок валідаторами.

Валідатор (Validator): Учасник мережі, що відповідає за упаковку транзакцій та створення нових блоків.

Їхні методи злочину можна спростити до кількох кроків:

Перший крок: спостереження та локалізація. Вони, як і інші MEV Боти, постійно моніторять Mempool Ethereum, шукаючи вигідні можливості для арбітражних угод. Вони виявили кілька арбітражних пакетів, що складаються з трьох угод, які здатні приносити великий прибуток.

Другий крок: планування “пастки”. Вони не підвищували Gas-ставки, як звичайні люди, щоб виграти ці угоди, а розробили складну схему атаки. Вони використали вразливість у коді Ethereum, спеціально націлившись на MEV-Boost (програмне забезпечення, що допомагає валідаторам отримувати MEV).

Третій крок: здійснення атаки - “перехоплення” транзакцій. Вони створили свої власні вузли верифікації і, використовуючи свої технічні знання, в дуже короткий проміжок часу (приблизно 12 секунд) успішно “перехопили” ці непідтверджені транзакції.

Конкретно кажучи, вони за допомогою низки складних операцій перешкодили нормальному пакуванню цих транзакцій у блоки, одночасно змусивши оригінальні MEV Боти, які подали ці транзакції, вважати, що транзакції зазнали невдачі.

Четвертий крок: крадіжка та реконструкція. Коли оригінальний MEV Бот відмовляється, вони швидко переробляють ці «захоплені» транзакції і направляють арбітражний прибуток на свої контрольовані гаманці. Увесь процес на блокчейні виглядає як серія нормальних реорганізацій транзакцій, але насправді це крадіжка, що здійснюється через використання вразливостей.

П'ятий крок: спроба відмивання грошей та вимагання. Виконавши свої дії, вони не зупинилися. Вони намагалися відмити крадені гроші через ряд складних операцій в блокчейні (наприклад, використовуючи змішувачі, кросчейн мости, переводячи кошти до закордонних криптовалютних бірж), намагаючись приховати джерело фінансів.

Більш серйозно, вони зв'язалися з жертвами і погрожували, що якщо ті не сплатять викуп, то повідомлять податковим органам про криптовалютну діяльність жертви та розкриють її особу. Це є шантажем.

Три, важливий вплив

Це вперше Міністерство юстиції США подає кримінський позов щодо атак, пов'язаних з MEV. Воно класифікує одну з відносно нових і технічно складних практик у сфері блокчейн як кримінальний злочин. У справі чітко розрізняються “конкурентний” MEV та “шахрайські” атаки хакерів. Просте використання MEV Ботів для участі в конкуренції не є незаконним, але використання вразливостей для крадіжки вартості вже виявлених транзакцій та здійснення вимагання становить серйозний злочин.

Заступник генерального прокурора США Ліза Монако у своїй заяві підкреслила: “Обвинувачений використав надзвичайно професійні знання для маніпуляцій та шахрайства з блокчейном Ethereum, в результаті чого було вкрадено криптовалюту. Незважаючи на те, що обвинувачений застосував складні методи злочину, їх все ж було виявлено та арештовано.” Водночас прокуратура також зазначила, що політику щодо цифрових активів повинна визначати Конгрес, а не передавати на розгляд суду, що може встановити прецедент для справ, пов'язаних із криптовалютою.

Ця справа надіслала сильний сигнал учасникам DeFi (децентралізовані фінанси) та MEV: навіть у сфері, де код є законом, використання технічних вразливостей для незаконного отримання прибутку також підлягає традиційним юридичним санкціям. Це також спонукало такі блокчейн-спільноти, як Ethereum, більш серйозно ставитися до безпеки своїх протоколів та інфраструктури.

Чотири, розширене мислення

У цій справі особа незаконно отримала криптовалюту інших осіб за допомогою технологічних засобів, що відповідає елементам складу злочину крадіжки за кримінальним правом нашої країни. Згідно зі статтею 264 Кримінального кодексу, таємне викрадення державного або приватного майна в особливо великих розмірах карається позбавленням волі на строк не менше десяти років або довічним позбавленням волі. Сума справи становить 25 мільйонів доларів США (приблизно 180 мільйонів юанів), що значно перевищує стандарт “особливо великих розмірів”. Його вимагання може бути кваліфіковане як шантаж. Особа, яка погрожує повідомленням про злочин для отримання майна, повністю відповідає положенням статті 274 Кримінального кодексу. Цей злочин карається нарівні з крадіжкою, що відображає всебічну оцінку складних злочинних дій. Звичайно, після вчинення злочину вони намагалися приховати здобуті злочинним шляхом кошти, що також може бути кваліфіковано як відмивання грошей.

В процесі судового провадження в нашій країні, зосереджуючи увагу на суб'єктивному намірі дійової особи, незаконній сумі отриманих вигод, незаконності технічних засобів тощо, відповідно до відповідних рекомендацій Верховного суду, віртуальні валюти можуть бути захищеними об'єктами власності за кримінальним правом. Конкретно на рівні оперативних процесів кримінальної юстиції, ця справа підкреслює три основні питання. По-перше, кваліфікація злочину: використання вразливостей блокчейну для незаконного переміщення активів, по суті, залишається злочином по порушенню прав власності. По-друге, встановлення доказів: дані блокчейну як стандарти фіксації, витягування та визнання електронних доказів. По-третє, міжнародна співпраця: якщо залучені китайські суб'єкти або фінансові потоки до Китаю, необхідно розпочати міжнародну кримінально-правову допомогу.

Ця справа також з іншого боку надихає нас: Україні потрібно зміцнити аналіз нових злочинів у сфері блокчейн, вдосконалити відповідні судові тлумачення, щоб забезпечити ефективну боротьбу зі злочинними діями, що здійснюються з використанням нових технологій, при збереженні принципу технологічної нейтральності.

Отже, справа з MEV Ботом на 25 мільйонів доларів є суттю високотехнологічного фінансового крадіжки та вимагання, що використовує вразливість блокчейн-протоколу. Дії підсудних значно перевищують межі законної конкуренції MEV, складаючи чітке шахрайство та відмивання грошей. Результати розгляду цієї справи встановлять важливий юридичний прецедент для обробки подібних випадків у майбутньому.