Amerikaanse studenten gebruikten kwetsbaarheid in Ethereum-tool voor diefstal

Twee Amerikaanse broers hebben voor 25 miljoen dollar aan ether gestolen door gebruik te maken van een kwetsbaarheid in MEV-Boost, een tool voor validators van transacties voor op de Ethereum-blockchain.

De broers hadden validators opgezet, waarna ze via de kwetsbaarheid in de MEV-Boost-tool toegang kregen tot de inhoud van het hele block, blijkt uit de aanklacht die Ars Technica online heeft gezet. Daarna pasten ze de inhoud aan, waardoor zij degenen waren die de cryptovaluta kregen. Vervolgens zetten ze dat als validator op de blockchain. De exacte details van de exploit zijn verder onduidelijk.

Ze probeerden hun acties te verbergen door gebruik te maken van diverse bedrijven en door het geld te laten lopen via verschillende cryptoaccounts. De Amerikaanse Justitie kwam ze op het spoor door het geldspoor te volgen. De diefstal vond plaats in december 2022. Als de verdachten schuldig worden bevonden, kunnen ze een gevangenisstraf van maximaal twintig jaar krijgen.

Door Arnoud Wokke

Redacteur Tweakers

16-05-2024 • 16:55

35

Submitter: cariolive23

Reacties (35)

Sorteer op:

Weergave:

Code is law, en het staat op de blockchain. Dus volgens de cryptobros hebben ze toch niks verkeerd gedaan? Ook vreemd dat een overheidsdienst zich plots gaat moeien in het gedecentraliseerde cryptofantasieland.

Mensen willen zich per se loskoppelen van centralisatie maar als het grondig misloopt komt men wenend om hulp vragen. Lachen.
Ook vreemd dat een overheidsdienst zich plots gaat moeien in het gedecentraliseerde cryptofantasieland.
Zelfs als je crypto niet als geld ziet: het is een bepaalde waarde. Zoals schilderijen, horloges, etc. (Eveneens niet gereguleerd en/of gecentraliseerd). En daar dient een overheidsdienst (politie) nog steeds achter aan te gaan indien het niet bij de juiste eigenaar aankomt.
Dus 1 enkele validator kan een bock goed keuren naar eigen keuze ??

Morgen gaat iedereen dit proberen lol .
Dit artikel bevat meer informatie over de exploit: https://www.coindesk.com/...us-reveals-fraud-charges/.

Ze hebben dus een voorgesteld block gewijzigd nog voordat het echt bij de validators uitkwam en vervolgens dat gewijzigde block ingediend ter goedkeuring. Dit kon door een fout in MEV-boost en lijkt niet bepaald het gevolg te zijn van een kwetsbaarheid in het netwerk (wat denk ik, voor zover het wist, een valide block goedkeurde)

[Reactie gewijzigd door vickypollard op 23 juli 2024 01:48]

Anno 2024 werkt hardcore recherchewerk door middel van "follow the money" nog steeds prima. Daarnaast, legt deze methode niet meteen een kwetsbaarheid aan blockchain bloot?
Niet zozeer blockchain maar vooral de kwetsbaarheid van een niet gereguleerde markt.
Heeft niets met regulatie te maken. Met een kwetsbaarheid in MEV-Boost.
Als je denkt dat MEV boost iets positiefs is, dan komt het inderdaad niet door gebrek aan regulering :X
Het recherche werk laat zien dat blockchain juist goed open staat voor "follow the money". Je kan in de blockchain tot in lengte van dagen terug lezen waar het geld langs is geweest.

Natuurlijk laat het ook de kwetsbaarheid zien, net zoals het laat zien waar en hoe dat kan worden aan gepakt en opgelost.

Het geheel is overigens vergelijkbaar met eerdere invoer van nieuwe vormen van geld. Toen het allemaal nog gebaseerd was op goud en gewichten was dat lastig. Toen kwam er een organisatie die daar een stempel op sloeg om het makkelijk te maken: De geboorte van munt geld. Toen bleek dat er rand-snijders bezig waren die het goud langs het stempel weg sneden, is de munt begonnen om ook de zijkant te voorzien van tekens.
Daarna met papier geld: Gebruik de nieuwste druk technieken en verbeter dat steeds zodat het moeilijk is om na te maken. En blijf het ook verbeteren, dat doet de tegenpartij ook.
Sinds halverwege de vorige eeuw kwam 'giraal' geld in opkomst. Hier spelen de banken een grote rol en dat is gaan rollen met checks, credit-cards, accept-giro-kaarten en dergelijke tot dat allemaal eind vorige eeuw elektronisch ging met pinpassen en dergelijke. Ook daar is een doorlopende ontwikkeling omdat de 'tegenpartij' de gebruikte technieken begon te gebruiken en misbruiken.

Om kort te gaan: elke vorm van 'geld' heeft haar aantrekkingskracht en moet doorlopend worden door ontwikkeld om ongewenste ontwikkelingen voor te blijven en te pareren.
logisch toch: geld dat ergens verdwijnt moet elders terecht komen.
Tja.. een bank kan ook overvallen worden en dan is er ook geld weg. Er zullen denk ik altijd kwetsbaarheden blijven zo lang de technologie blijft vernieuwen.
Titel wel erg algemeen; dacht dat het ging over alle Amerikaanse studenten :) Snap dat je iets als titel moet verzinnen maar toch; waarom dan niet Amerikaanse broers (dat ze nog studeren lijkt me niet zo relevant in deze, tenzij het onderdeel was van hun studie oid).

Off-topic; krijgt elke reactie standaard -1 (en 0)??

[Reactie gewijzigd door H.Klinkhamer op 23 juli 2024 01:48]

Nu moest je helemaal de tweede zin lezen om te begrijpen dat het maar om twee Amerikaanse studenten ging.
Nou, de specifieke verwijzing naar 'educatieve interesse' had mij anders ook op het verkeerde been. Ik dacht dat het om een white hack ging, waarmee de mogelijkheid tot diefstal werd getoond.

Dit blijkt 'n echte kraak. Waarbij ze kennelijk alleen het verhuizen naar een land zonder uitwisselingsverdrag stom genoeg zijn vergeten.

En op Tweakers zou ik desondanks graag lezen of het mogelijk nog steeds kwetsbaar is, of al lang gepatcht.
Drie zinnen in de aanklacht lezen dan weet je dat het uiterst relevant is om het student zijn te noemen.
"Using the specialized skills developted during their education,...."
Daarentegen staat er who studied, dus verleden tijd.
Slim, maar niet slim genoeg...
Triestig eigenlijk. Ze zijn 24 en 28 jaar oud, hebben een prachtig diploma en dan gooien ze even hun hele jonge leven weg.

De eerste zin in de indictment:
the defendants are brothers who studied mathematics and computer science at one of the most prestigious universities in the country

Ergens zijn ze zo slim, aan de andere kant zijn ze ook zo idioot.
NSA zit vol met deze mensen die nu meer verdienen ;-)
Studeerden aan MIT en hadden die 25 miljoen makkelijk met een gewone baan kunnen verdienen. Niet in een paar maanden tijd, wel in een paar jaar. Eeuwig zonde van hun capaciteiten.

Dit is wel hoe criminelen denken, dus op zich weer niet zo bijzonder.

Ps. Beetje afhankelijk van hoe ze nou precies in de race zitten, maar misschien dat ze in de toekomst nog kunnen werken voor CIA, NSA of FBI, heeft Frank Abagnale ook gedaan. En ook daar zitten wel wat steekjes los
Ja maar Frank was uniek in een wereld waar de meeste hoger diploma loos waren.
Ik denk dat je nu wel genoeg mathematici en cs studenten kunt vinden zeker in die contreien.
Niet iedereen die is afgestudeerd aan MIT verdient 5 miljoen per jaar.
Deze jongens zijn slim en ondernemend, omdat?...

Even vergeten dat deze jongens zo slim zijn dat ze met hun geweldig opsec nu 20 jaar in de bak zitten.
Deze jongens zijn slim en ondernemend, omdat?...

Even vergeten dat deze jongens zo slim zijn dat ze met hun geweldig opsec nu 20 jaar in de bak zitten.
Heb je de indictment een beetje gelezen. Zij hadden een volledig stappenplan uitgewerkt, 880.000$ gestoken in de "eth stakes" voor de 16 eigen validators*, Private Secure netwerk opgezet (VPN, Tor ???), cryptobeurzen gezocht die geen identiteitsbewijzen vereisten, victims met een hoge graaifactor liggen uitkiezen, enz ... Ze hebben steken laten vallen dat wel maar slecht zou ik hun opsec ook niet noemen.
En ja dat noem ik ondernemend.


* Ik heb geen idee, en geen goesting om te weten, hoe het ethereum netwerk of andere cryptomarkten werken, dus excuses bij voorbaat al als ik het een en ander verwissel.
Dan denk ik dat je minder in de Karen facebook groepen moet zitten, als je overal om je heen corruptie ziet.
Of je begeeft je een keer niet in je favoriete cafe op een dijk achteraf in het dorp waar je woont, maar verdiept je eens in politiek en financiering in het algemeen, of, maar dan ga ik natuurlijk wel heel ver, zit eens een vergadering bij waarbij je oren van gaan klapperen.
25 miljoen euro stelen en maar 20 jaar cel straf?
Plus terug betalen met rente verlies er bovenop.

Dus nog geen twee jaar beschikking over dat geld, het allemaal terug betalen en 20 jaar de bak in.

Stel je bent net klaar met de uni, je mag er pas uit als de leeftijd dat je een gezin sticht en kinderen krijgt voorbij is. En leeft dan de rest van je leven op bestaand minimum i.v.m. je rest schuld.

[Reactie gewijzigd door djwice op 23 juli 2024 01:48]

SBF doet 30 jaar voor een paar miljard.
Nou ben precies, wat hebben ze nu daadwerkelijk gestolen.
Das waar, maar niet relevant in deze context. Als ik de Mona Lisa steel is dat ook erger dan wanneer ik een stoffen doek en een blik verf steel. Dat is ook maar fantasiewaarde.

Op dit item kan niet meer gereageerd worden.