去年,前亚马逊工程师 Shakeeb Ahmed 攻击了两个去中心化金融平台。该男子设法破解两个协议允许在区块链上交换加密货币,包括一个名为 Nirvana Finance 的平台。两次攻击结束后,这名计算机安全工程师卷走了 1230 万美元的加密货币。
平台代码中存在缺陷
为了实施攻击,网络安全专家利用了内部的一个缺陷智能合约被平台使用。智能合约,也称为智能合约,是一种旨在在区块链上执行操作的自动化软件。这些协议在去中心化交易服务的运营中发挥着核心作用。他们实际上负责管理用户存入的加密货币以及区块链之间的所有传输。
艾哈迈德利用他在区块链方面的专业知识,利用该漏洞说服智能合约欺诈性地赚取数百万美元的数字货币。然后,工程师能够在协议开发人员采取行动之前提取资金,这些资金神奇地出现在网络上。
作为 Nirvana Finance 黑客攻击的一部分,黑客首先感染了贷款1000万美元在平台上。用获得的资金,他大量投资于 Nirvana Finance 代币 ANA。通过利用智能合约的违反,艾哈迈德以远低于市场价格的价格购买了代币。该协议预测,在进行重大投资后,加密货币的价格将会上涨。由于这个漏洞,他能够规避这一规则并节省大量资金。尽管如此,协议最终还是在艾哈迈德购买后更新了 ANA 的价格。黑客在这里转售代币,获得丰厚利润。
攻击发生后不久,网络犯罪分子与目标协议的开发商进行了谈判。他向第一个受害者提出,如果她同意不联系警方,就可以归还大部分被盗的货币。就其本身而言,Nirvana Finance 提供了奖金60万美元对袭击他的人来说。黑客拒绝了这一提议,并要求返还被盗资金超过 100 万美元。最终未能达成任何协议,受黑客攻击严重影响的 Nirvana Finance 最终关门大吉。与此同时,窃贼使用多种技术对加密货币进行洗钱。特别是,他将自己的战利品转换成门罗币(XMR),一种匿名加密货币。自 2014 年推出以来,门罗币逐渐将自己定位为网络犯罪分子首选的加密货币之一。与王比特币不同,XMR 为用户提供匿名性,使得交易无法追踪。
第一次逮捕
尽管他小心翼翼,这位三十岁的年轻人最终还是落入了美国司法的网中。事件发生一年后,海盗被被指控计算机欺诈美国司法部在纽约一家法院宣布。正如负责此案的检察官达米安·威廉姆斯(Damian Williams)所指出的,这就是“有史以来第一次涉及智能合约攻击的逮捕”:
“这次逮捕是有史以来第一次因此类黑客行为而被定罪。 […]今天的量刑表明,无论使用的手段多么复杂,欺诈就是欺诈,我们会尽快抓住你并定罪。”。
在法庭上,艾哈迈德认罪并同意归还他窃取的所有加密货币。三十岁的风险最高可判处五年监禁。判决将于 2024 年 3 月宣布。
智能合约成为去中心化金融平台黑客事件的幕后黑手并不罕见。近年来,许多黑客利用智能合约从加密生态系统中窃取协议。我们会记住克布里奇黑客,基于恶意合约的 Celer 网桥,或者曲线金融黑客。这些合约基于开源代码。因此,黑客很容易检查代码以寻找漏洞。
来源 : 正义网
