Amerikaanse studenten gebruikten kwetsbaarheid in Ethereum-tool voor diefstal

Twee Amerikaanse broers hebben voor 25 miljoen dollar aan ether gestolen door gebruik te maken van een kwetsbaarheid in MEV-Boost, een tool voor validators van transacties voor op de Ethereum-blockchain.

De broers hadden validators opgezet, waarna ze via de kwetsbaarheid in de MEV-Boost-tool toegang kregen tot de inhoud van het hele block, blijkt uit de aanklacht die Ars Technica online heeft gezet. Daarna pasten ze de inhoud aan, waardoor zij degenen waren die de cryptovaluta kregen. Vervolgens zetten ze dat als validator op de blockchain. De exacte details van de exploit zijn verder onduidelijk.

Ze probeerden hun acties te verbergen door gebruik te maken van diverse bedrijven en door het geld te laten lopen via verschillende cryptoaccounts. De Amerikaanse Justitie kwam ze op het spoor door het geldspoor te volgen. De diefstal vond plaats in december 2022. Als de verdachten schuldig worden bevonden, kunnen ze een gevangenisstraf van maximaal twintig jaar krijgen.

IT-banen

Reacties (35)

iqcgubon 17 mei 2024 07:10

Code is law, en het staat op de blockchain. Dus volgens de cryptobros hebben ze toch niks verkeerd gedaan? Ook vreemd dat een overheidsdienst zich plots gaat moeien in het gedecentraliseerde cryptofantasieland.

Mensen willen zich per se loskoppelen van centralisatie maar als het grondig misloopt komt men wenend om hulp vragen. Lachen.

Het.Draakje @iqcgubon • 17 mei 2024 13:28

Ook vreemd dat een overheidsdienst zich plots gaat moeien in het gedecentraliseerde cryptofantasieland.

Zelfs als je crypto niet als geld ziet: het is een bepaalde waarde. Zoals schilderijen, horloges, etc. (Eveneens niet gereguleerd en/of gecentraliseerd). En daar dient een overheidsdienst (politie) nog steeds achter aan te gaan indien het niet bij de juiste eigenaar aankomt.

Scriptkid 16 mei 2024 17:04

Dus 1 enkele validator kan een bock goed keuren naar eigen keuze ??

Morgen gaat iedereen dit proberen lol .

vickypollard @Scriptkid • 16 mei 2024 17:46

Dit artikel bevat meer informatie over de exploit: https://www.coindesk.com/...us-reveals-fraud-charges/.

Ze hebben dus een voorgesteld block gewijzigd nog voordat het echt bij de validators uitkwam en vervolgens dat gewijzigde block ingediend ter goedkeuring. Dit kon door een fout in MEV-boost en lijkt niet bepaald het gevolg te zijn van een kwetsbaarheid in het netwerk (wat denk ik, voor zover het wist, een valide block goedkeurde)

[Reactie gewijzigd door vickypollard op 23 juli 2024 01:48]

SniperEye 16 mei 2024 17:06

Anno 2024 werkt hardcore recherchewerk door middel van "follow the money" nog steeds prima. Daarnaast, legt deze methode niet meteen een kwetsbaarheid aan blockchain bloot?

Frame164 @SniperEye • 16 mei 2024 18:01

Niet zozeer blockchain maar vooral de kwetsbaarheid van een niet gereguleerde markt.

ViNOK16Bit @Frame164 • 16 mei 2024 18:25

Heeft niets met regulatie te maken. Met een kwetsbaarheid in MEV-Boost.

Djerro123 @ViNOK16Bit • 16 mei 2024 18:37

Als je denkt dat MEV boost iets positiefs is, dan komt het inderdaad niet door gebrek aan regulering

beerse @SniperEye • 17 mei 2024 09:44

Het recherche werk laat zien dat blockchain juist goed open staat voor "follow the money". Je kan in de blockchain tot in lengte van dagen terug lezen waar het geld langs is geweest.

Natuurlijk laat het ook de kwetsbaarheid zien, net zoals het laat zien waar en hoe dat kan worden aan gepakt en opgelost.

Het geheel is overigens vergelijkbaar met eerdere invoer van nieuwe vormen van geld. Toen het allemaal nog gebaseerd was op goud en gewichten was dat lastig. Toen kwam er een organisatie die daar een stempel op sloeg om het makkelijk te maken: De geboorte van munt geld. Toen bleek dat er rand-snijders bezig waren die het goud langs het stempel weg sneden, is de munt begonnen om ook de zijkant te voorzien van tekens.
Daarna met papier geld: Gebruik de nieuwste druk technieken en verbeter dat steeds zodat het moeilijk is om na te maken. En blijf het ook verbeteren, dat doet de tegenpartij ook.
Sinds halverwege de vorige eeuw kwam 'giraal' geld in opkomst. Hier spelen de banken een grote rol en dat is gaan rollen met checks, credit-cards, accept-giro-kaarten en dergelijke tot dat allemaal eind vorige eeuw elektronisch ging met pinpassen en dergelijke. Ook daar is een doorlopende ontwikkeling omdat de 'tegenpartij' de gebruikte technieken begon te gebruiken en misbruiken.

Om kort te gaan: elke vorm van 'geld' heeft haar aantrekkingskracht en moet doorlopend worden door ontwikkeld om ongewenste ontwikkelingen voor te blijven en te pareren.

dasiro @SniperEye • 16 mei 2024 21:00

logisch toch: geld dat ergens verdwijnt moet elders terecht komen.

Cowamundo @SniperEye • 16 mei 2024 21:21

Tja.. een bank kan ook overvallen worden en dan is er ook geld weg. Er zullen denk ik altijd kwetsbaarheden blijven zo lang de technologie blijft vernieuwen.

H.Klinkhamer 16 mei 2024 17:02

Titel wel erg algemeen; dacht dat het ging over alle Amerikaanse studenten

Snap dat je iets als titel moet verzinnen maar toch; waarom dan niet Amerikaanse broers (dat ze nog studeren lijkt me niet zo relevant in deze, tenzij het onderdeel was van hun studie oid).

Off-topic; krijgt elke reactie standaard -1 (en 0)??

[Reactie gewijzigd door H.Klinkhamer op 23 juli 2024 01:48]

Prozpect @H.Klinkhamer • 16 mei 2024 17:07

Nu moest je helemaal de tweede zin lezen om te begrijpen dat het maar om twee Amerikaanse studenten ging.

Gwaihir @Prozpect • 16 mei 2024 18:14

Nou, de specifieke verwijzing naar 'educatieve interesse' had mij anders ook op het verkeerde been. Ik dacht dat het om een white hack ging, waarmee de mogelijkheid tot diefstal werd getoond.

Dit blijkt 'n echte kraak. Waarbij ze kennelijk alleen het verhuizen naar een land zonder uitwisselingsverdrag stom genoeg zijn vergeten.

En op Tweakers zou ik desondanks graag lezen of het mogelijk nog steeds kwetsbaar is, of al lang gepatcht.

JohnKarma @H.Klinkhamer • 16 mei 2024 19:08

Drie zinnen in de aanklacht lezen dan weet je dat het uiterst relevant is om het student zijn te noemen.
"Using the specialized skills developted during their education,...."

H.Klinkhamer @JohnKarma • 16 mei 2024 19:42

Daarentegen staat er who studied, dus verleden tijd.

eurob 16 mei 2024 18:05

Slim, maar niet slim genoeg...

marinostrus 16 mei 2024 17:10

Triestig eigenlijk. Ze zijn 24 en 28 jaar oud, hebben een prachtig diploma en dan gooien ze even hun hele jonge leven weg.

De eerste zin in de indictment:
the defendants are brothers who studied mathematics and computer science at one of the most prestigious universities in the country

Ergens zijn ze zo slim, aan de andere kant zijn ze ook zo idioot.

Tr1pke @marinostrus • 16 mei 2024 17:50

NSA zit vol met deze mensen die nu meer verdienen ;-)

cariolive23 @marinostrus • 16 mei 2024 17:45

Studeerden aan MIT en hadden die 25 miljoen makkelijk met een gewone baan kunnen verdienen. Niet in een paar maanden tijd, wel in een paar jaar. Eeuwig zonde van hun capaciteiten.

Dit is wel hoe criminelen denken, dus op zich weer niet zo bijzonder.

Ps. Beetje afhankelijk van hoe ze nou precies in de race zitten, maar misschien dat ze in de toekomst nog kunnen werken voor CIA, NSA of FBI, heeft Frank Abagnale ook gedaan. En ook daar zitten wel wat steekjes los

goarilla @cariolive23 • 17 mei 2024 14:58

Ja maar Frank was uniek in een wereld waar de meeste hoger diploma loos waren.
Ik denk dat je nu wel genoeg mathematici en cs studenten kunt vinden zeker in die contreien.

Frame164 @cariolive23 • 16 mei 2024 18:02

Niet iedereen die is afgestudeerd aan MIT verdient 5 miljoen per jaar.

BlaDeKke @cariolive23 • 16 mei 2024 20:34

Deze jongens zijn slim en ondernemend, omdat?...

Even vergeten dat deze jongens zo slim zijn dat ze met hun geweldig opsec nu 20 jaar in de bak zitten.

goarilla @BlaDeKke • 17 mei 2024 15:07

Deze jongens zijn slim en ondernemend, omdat?...

Even vergeten dat deze jongens zo slim zijn dat ze met hun geweldig opsec nu 20 jaar in de bak zitten.

Heb je de indictment een beetje gelezen. Zij hadden een volledig stappenplan uitgewerkt, 880.000$ gestoken in de "eth stakes" voor de 16 eigen validators*, Private Secure netwerk opgezet (VPN, Tor ???), cryptobeurzen gezocht die geen identiteitsbewijzen vereisten, victims met een hoge graaifactor liggen uitkiezen, enz ... Ze hebben steken laten vallen dat wel maar slecht zou ik hun opsec ook niet noemen.
En ja dat noem ik ondernemend.

* Ik heb geen idee, en geen goesting om te weten, hoe het ethereum netwerk of andere cryptomarkten werken, dus excuses bij voorbaat al als ik het een en ander verwissel.

BlaDeKke @Hatseflats • 16 mei 2024 20:37

Dan denk ik dat je minder in de Karen facebook groepen moet zitten, als je overal om je heen corruptie ziet.

Hatseflats @BlaDeKke • 17 mei 2024 15:46

Of je begeeft je een keer niet in je favoriete cafe op een dijk achteraf in het dorp waar je woont, maar verdiept je eens in politiek en financiering in het algemeen, of, maar dan ga ik natuurlijk wel heel ver, zit eens een vergadering bij waarbij je oren van gaan klapperen.

Qws 16 mei 2024 18:54

25 miljoen euro stelen en maar 20 jaar cel straf?

djwice

@Qws • 16 mei 2024 19:05

Plus terug betalen met rente verlies er bovenop.

Dus nog geen twee jaar beschikking over dat geld, het allemaal terug betalen en 20 jaar de bak in.

Stel je bent net klaar met de uni, je mag er pas uit als de leeftijd dat je een gezin sticht en kinderen krijgt voorbij is. En leeft dan de rest van je leven op bestaand minimum i.v.m. je rest schuld.

[Reactie gewijzigd door djwice op 23 juli 2024 01:48]

BlaDeKke @Qws • 16 mei 2024 20:32

SBF doet 30 jaar voor een paar miljard.

Punkbuster @iqcgubon • 16 mei 2024 22:34

Nou ben precies, wat hebben ze nu daadwerkelijk gestolen.

_Pussycat_ @iqcgubon • 17 mei 2024 17:32

Das waar, maar niet relevant in deze context. Als ik de Mona Lisa steel is dat ook erger dan wanneer ik een stoffen doek en een blik verf steel. Dat is ook maar fantasiewaarde.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: