据美国司法部新闻稿,34岁的纽约市民Shakeeb Ahmed承认黑客入侵了Nirvana Finance和另外一家去中心化加密货币交易所,这也是美国有史以来首次因智能合约入侵而定罪。

大约是在2022年7月2日和3日,Shakeeb Ahmed利用一家加密货币交易所(新闻稿中未透露)的智能合约中的一个漏洞进行了攻击,通过操纵智能合约引入虚假定价数据,产生了价值约900万美元的夸大费用。在提取了这些费用之后,Shakeeb Ahmed跟该加密货币交易所交涉,表示如果交易所同意不将此次攻击上报执法部门,他就只会拿走150万美元,其余被盗资金悉数归还。

在第一次黑客攻击后不久,大约在2022年7月28日,Shakeeb Ahmed又利用Nirvana Finance加密货币交易所的漏洞对其进行了闪电贷。Nirvana Finance买卖其加密货币代币ANA的设计是,当用户购买大量ANA时,ANA的价格会上涨,当用户出售大量ANA时,ANA的价格会下降。

当时Shakeeb Ahmed用大约1000万美元从Nirvana Finance购买了大量ANA,但他是利用在Nirvana智能合约中发现的漏洞以初始低价购买,而不是根据他的购买量Nirvana Finance设计的更高价格。当ANA的价格更新以同步反映他的大宗购买时,Shakeeb Ahmed又以这个新的高价将他购买的ANA重新出售给Nirvana Finance,从而使他获得了大约360万美元的差价利润。

Nirvana Finance答应提供给Shakeeb Ahmed的“漏洞赏金”最高可达60万美元,但Shakeeb Ahmed的要求是140万美元,双方未达成协议,Shakeeb Ahmed保留了所有不当得利。Shakeeb Ahmed窃取的360万美元相当于是Nirvana Finance持有的全部资金,因此该交易所在攻击后不久就关闭了。

在进行上述两次入侵时,Shakeeb Ahmed是一家国际科技公司的高级安全工程师,他的简历上写着他精通智能合约的逆向工程和区块链审计,如今看来确实精通,这些技能被他熟练运用于执行这些黑客攻击之中。

在犯案后,Shakeeb Ahmed通过各种手段试图掩盖自己的痕迹,例如将盗窃资产兑换成—门罗币(一种旨在为用户提供增强隐私和匿名性的加密货币,使交易难以追踪)。由于担心被抓,他还考虑离开美国。警方发现他在网上搜索有关他的黑客攻击的信息,以及与他逃离美国、避免引渡和保住被盗加密货币的能力有关的网站。例如,他搜索了诸如“能用加密货币跨境吗”、“如何阻止联邦政府扣押资产”、“购买公民身份”等。

在本案中,Shakeeb Ahmed在美国地方法官面前承认犯有计算机欺诈罪(最高可判处五年监禁),并同意没收其超过1230万美元的资产。

编辑:左右里

资讯来源:bleepingcomputer、美司法部

声明:本文来自看雪学苑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。