去年,前亞馬遜工程師 Shakeeb Ahmed 攻擊了兩個去中心化金融平台。該男子設法破解兩個協議允許在區塊鏈上交換加密貨幣,包括一個名為 Nirvana Finance 的平台。兩次攻擊結束後,這位電腦安全工程師捲走了 1,230 萬美元的加密貨幣。
平台程式碼存在缺陷
為了實施攻擊,網路安全專家利用了內部的一個缺陷智能合約被平台使用。智能合約,也稱為智能合約,是一種旨在在區塊鏈上執行操作的自動化軟體。這些協議在去中心化交易服務的運作中發揮核心作用。他們實際上負責管理用戶存入的加密貨幣以及區塊鏈之間的所有傳輸。
艾哈邁德利用他在區塊鏈方面的專業知識,利用該漏洞說服智能合約欺詐性地賺取數百萬美元的數位貨幣。然後,工程師能夠在協議開發人員採取行動之前提取資金,這些資金神奇地出現在網路上。
作為 Nirvana Finance 駭客攻擊的一部分,駭客首先感染了貸款1000萬美元在平台上。用獲得的資金,他大量投資於 Nirvana Finance 代幣 ANA。透過利用智能合約的違反,艾哈邁德以遠低於市場價格的價格購買了代幣。該協議預測,在進行重大投資後,加密貨幣的價格將會上漲。由於這個漏洞,他能夠規避這項規則並節省大量資金。儘管如此,協議最終還是在艾哈邁德購買後更新了 ANA 的價格。駭客在這裡轉售代幣,獲得豐厚利潤。
攻擊發生後不久,網路犯罪分子與目標協議的開發商進行了談判。他向第一個受害者提出,如果她同意不聯絡警方,就可以歸還大部分被偷的貨幣。就其本身而言,Nirvana Finance 提供了獎金60萬美元對襲擊他的人來說。駭客拒絕了這項提議,並要求返還被盜資金超過 100 萬美元。最終未能達成任何協議,受駭客攻擊嚴重影響的 Nirvana Finance 最終關門大吉。同時,竊賊使用多種技術對加密貨幣進行洗錢。特別是,他將自己的戰利品轉換成門羅幣(XMR),一種匿名加密貨幣。自 2014 年推出以來,門羅幣逐漸將自己定位為網路犯罪分子首選的加密貨幣之一。與王比特幣不同,XMR 為用戶提供匿名性,使得交易無法追蹤。
第一次逮捕
儘管他小心翼翼,這位三十歲的年輕人最終還是落入了美國司法的網中。事件發生一年後,海盜被被指控計算機欺詐美國司法部在紐約一家法院宣布。正如負責此案的檢察官達米安威廉斯(Damian Williams)所指出的,這就是“有史以來第一次涉及智能合約攻擊的逮捕”:
「這次逮捕是有史以來第一次因此類駭客行為而被定罪。 […]今天的量刑表明,無論使用的手段多麼複雜,欺詐就是欺詐,我們會盡快抓住你並定罪。。
在法庭上,艾哈邁德認罪並同意歸還他竊取的所有加密貨幣。三十歲的風險最高可判處五年監禁。判決將於 2024 年 3 月宣布。
智慧合約成為去中心化金融平台駭客事件的幕後黑手並不罕見。近年來,許多駭客利用智慧合約從加密生態系統中竊取協議。我們會記住克布里奇駭客,基於惡意合約的 Celer 橋,或者曲線金融駭客。這些合約是基於開源程式碼。因此,駭客很容易檢查程式碼以尋找漏洞。
來源 : 正義網
