Внутрішня справа: інженер із безпеки організував багатомільйонні зловживання у сфері криптовалют

Передумови справи

Шакіб Ахмед, старший інженер з безпеки, пов'язаний із міжнародною технологічною компанією, у грудні визнав себе винним у комп'ютерному шахрайстві у зв'язку зі своїми складними хакерськими операціями, спрямованими проти двох децентралізованих криптобірж. Про це нещодавно оголосив Деміан Вільямс, федеральний прокурор Південного округу Нью-Йорка.

Зізнання Ахмеда має суттєве значення для сфери криптобезпеки, адже це перше в історії засудження за злам смартконтрактів. Це створює правовий прецедент для майбутніх справ, пов'язаних із шахрайством на основі блокчейну. Ця справа демонструє, що правова система здатна реагувати на складні злочини у сфері криптовалют.

Звинувачення стосуються атак, що відбулися в липні 2022 року на дві платформи: одну, відому як «криптобіржа», та іншу, що є частиною децентралізованого фінансового протоколу Nirvana Finance. Під час цих атак Ахмед, 34-річний громадянин США, використав своє становище старшого інженера з безпеки та спеціалізовані навички з реверс-інжинірингу смартконтрактів і блокчейн-аудитів для проведення цих складних атак.

Злам криптобіржі

Першою ціллю стала децентралізована криптобіржа, яка надавала користувачам можливість торгувати різними криптовалютами та винагороджувати провайдерів ліквідності через автоматизовану систему маркетмейкера. Ахмед виявив і використав критичну вразливість у смартконтрактах біржі, що регулюють автоматизовану торгівлю та механізми розподілу комісій.

Завдяки цій експлуатації Ахмед неправомірно отримав близько 9 мільйонів доларів США торгових комісій, маніпулюючи логікою розрахунку винагород. Така атака демонструє потенційні ризики безпеки, притаманні складним DeFi-протоколам, де навіть незначні вразливості у коді смартконтракту можуть призвести до значних фінансових втрат.

Після крадіжки Ахмед вів переговори з представниками біржі. Під час обговорень він погодився повернути більшу частину викрадених коштів за умови, що біржа не буде звертатися до правоохоронних органів. Такий підхід є типовим для криптоексплойтів, коли хакери намагаються легалізувати крадіжку через часткове повернення коштів.

Атака на Nirvana Finance

В іншому інциденті, що стався в липні 2022 року, Ахмед здійснив ще складнішу атаку на Nirvana Finance, DeFi-протокол. Для цього використовувався механізм флешкредиту, який дозволяє позичати великі суми криптовалюти без забезпечення за умови повернення кредиту в межах однієї блокчейн-транзакції.

Ахмед отримав близько 10 мільйонів доларів США через флешкредит, а потім маніпулював смартконтрактами Nirvana, використовуючи вразливості прайс-ораклів і механізми пулу ліквідності. У результаті він отримав близько 3,6 мільйона доларів США прибутку до повернення флешкредиту, не залишивши слідів позичених коштів.

Попри те, що Nirvana Finance запропонувала «bug bounty» за повернення викрадених коштів, Ахмед вимагав 1,4 мільйона доларів США як компенсацію. Коли переговори провалилися, він залишив собі всі викрадені кошти, що призвело до остаточного закриття платформи Nirvana Finance. Цей приклад ілюструє, як порушення безпеки можуть призвести до повного краху DeFi-проєктів і негативно вплинути на всіх учасників.

Операції з відмивання коштів

Після обох атак Ахмед продемонстрував глибокі знання блокчейн-форензіки, застосовуючи складні методи відмивання для приховування сліду викрадених активів. Його методи включали:

• Проведення численних транзакцій обміну токенів на різних децентралізованих біржах задля розриву прямого зв'язку між викраденими коштами та його адресами гаманців
• Використання кросчейн-мостів для переміщення доходів від шахрайства між різними блокчейнами, що ускладнює відстеження для слідчих
• Конвертацію значної частини викраденої криптовалюти у Monero — монету з акцентом на конфіденційність, призначену для приховування деталей транзакцій і володіння гаманцем

Ці методи відмивання свідчать про високий рівень розуміння блокчейн-технологій і демонструють складність роботи правоохоронців під час розслідування злочинів із криптовалютами.

Правові наслідки та вирок

Ахмед визнав себе винним за одним пунктом комп'ютерного шахрайства, що передбачає максимальне покарання — до п'яти років федерального ув'язнення. Це рішення має важливе значення для правозастосування у сфері криптовалют, оскільки встановлює правовий прецедент для переслідування експлойтів смартконтрактів за чинним законодавством про комп'ютерне шахрайство.

У межах угоди про визнання вини Ахмед погодився конфіскувати понад 12,3 мільйона доларів США, включаючи близько 5,6 мільйона доларів США у вигляді викраденої криптовалюти, яку вдалося відстежити й вилучити. Це одна з найбільших конфіскацій у справі, пов'язаній із DeFi.

Винесення вироку Ахмеду було призначено на 13 березня 2024 року у федеральному суді США під головуванням судді Віктора Марреро. Результати цієї справи, ймовірно, вплинуть на майбутню практику переслідування криптозлочинів і можуть стати стримувальним чинником для інших фахівців із безпеки, які розглядають подібні експлойти.

Ця справа підкреслює зростаючу складність злочинів у сфері криптовалют і відповідь правової системи на них, позначаючи важливий етап у розвитку безпеки блокчейну та регуляторного нагляду.

FAQ

Що таке внутрішня загроза на криптобіржі? Чому інженери з безпеки беруть участь у крадіжках?

Внутрішні загрози виникають через співробітників, яких підкуповують або піддають впливу соціальної інженерії. Інженери з безпеки можуть брати участь заради значного фінансового зиску. Такі інциденти шкодять репутації біржі, довірі користувачів і можуть призвести до мільярдних втрат через несанкціонований доступ до критичних систем і даних користувачів.

Які найвідоміші випадки внутрішніх крадіжок у криптовалютній історії? Які суми були викрадені?

Mt. Gox зазнала найбільшої крадіжки — понад 850 000 Bitcoin викрали у 2011–2014 роках, що відповідало сотням мільйонів доларів США. Серед інших помітних випадків — інциденти з Coincheck і Bitfinex, кожен із яких призвів до втрат від десятків до сотень мільйонів доларів через участь внутрішніх осіб.

Як криптобіржі запобігають зловмисним діям і крадіжкам коштів з боку внутрішніх інженерів з безпеки?

Біржі впроваджують багатофакторну автентифікацію, суворий контроль доступу й постійний моніторинг співробітників. Операції з великими сумами вимагають багаторівневого погодження різними особами. Більшість активів зберігається на холодних гаманцях, ізольованих від мережі. Регулярне навчання з безпеки й поведінкові біометричні системи допомагають виявляти компрометовані акаунти, а zero-trust-фреймворки обмежують індивідуальні права доступу.

Які технічні методи зазвичай використовують внутрішні особи для крадіжки коштів у разі порушень безпеки криптовалют?

Внутрішні особи зазвичай використовують привілейований доступ до систем для обходу протоколів безпеки, маніпулюють системами зберігання приватних ключів, здійснюють несанкціоновані перекази активів і відключають механізми моніторингу. Вони можуть створювати бекдори для постійного несанкціонованого доступу, перехоплювати транзакційні дані або співпрацювати з зовнішніми зловмисниками задля масштабних крадіжок активів і уникнення виявлення.

Які правові наслідки та покарання загрожують інженерам з безпеки за участь у крадіжці криптовалюти?

Інженери з безпеки, причетні до крадіжки криптовалюти, несуть сувору кримінальну відповідальність, включаючи тривале ув'язнення (до 20 років), значні штрафи, конфіскацію активів і постійну судимість. Розмір покарання залежить від суми крадіжки та юрисдикції.

Як криптовалютні платформи повинні проєктувати системи управління доступом і моніторингу, щоб запобігати внутрішнім порушенням?

Необхідно впроваджувати суворий розподіл прав доступу з розмежуванням обов'язків, застосовувати системи моніторингу транзакцій у реальному часі, регулярно проводити аудити безпеки, запроваджувати мультипідпис для критичних операцій, вести повний журнал дій і здійснювати безперервний аналіз поведінки співробітників для раннього виявлення аномалій.