Mỹ: Hai anh em chiếm đoạt 25 triệu USD trong 12 giây nhờ lỗ hổng MEV-Boost

Hai anh em tốt nghiệp MIT bị cáo buộc đã lên kế hoạch suốt nhiều tháng để khai thác một lỗ hổng phần mềm, đánh cắp 25 triệu USD từ các trader crypto chỉ trong 12 giây – theo lời khai của một cựu nhân viên tại tòa án liên bang Manhattan hôm thứ Sáu.

Travis Chen, một trader định lượng và là cựu nhân viên của công ty 18decimal do Anton và James Peraire-Bueno sáng lập, khai rằng trong một cuộc họp vào tháng 12 năm 2022, hai anh em này đã phác thảo kế hoạch thao túng giao thức MEV-Boost của Ethereum, đặt tên chiến dịch là “Omakase.”

“Đó là một chiến dịch kiếm lời từ các bot sandwich,” Chen khai trước tòa trong thỏa thuận miễn truy tố, theo đó anh phải nộp lại 2,4 triệu USD – phần lợi nhuận được chia từ vụ đánh cắp – theo báo cáo của Law360.

Bot sandwich là các chương trình giao dịch tự động lợi dụng biến động giá bằng cách chèn các giao dịch của mình trước và sau lệnh đang chờ xử lý để kiếm lời từ chênh lệch giá. Trong vụ này, chiến dịch “Omakase” được cho là đã đảo ngược chiến lược đó, tấn công chính các bot này.

Hai anh em Peraire-Bueno hiện đối mặt với cáo buộc âm mưu lừa đảo qua mạng và rửa tiền, mỗi tội có thể lãnh án tới 20 năm tù. Phiên tòa xét xử bắt đầu hôm thứ Ba tuần trước, sau khi họ từ chối thỏa thuận nhận tội.

Công tố viên cho biết hai anh em này đã trở thành validator trên blockchain Ethereum và lợi dụng một lỗi kỹ thuật cho phép họ xem trước dữ liệu giao dịch, từ đó sắp xếp lại các block để trục lợi, gây thiệt hại cho các “sandwich trader.”

Chen trình bày trước bồi thẩm đoàn các ghi chú từ cuộc họp tháng 12/2022, trong đó viết: “Quy mô chiến dịch rất lớn… 6 triệu USD trong hợp đồng. Nếu bẫy được tất cả cùng lúc, con số có thể cao hơn nhiều.”

Anh khai rằng hai anh em đã mất nhiều tháng nghiên cứu mô hình giao dịch để thiết kế tám giao dịch “mồi nhử” nhằm thu hút bot sandwich. Khi các bot này tham gia, họ đã lợi dụng lỗ hổng để rút tiền từ các bot.

Kế hoạch dường như đã thành công. Đến ngày 2 tháng 4 năm 2023, họ bị cáo buộc đã thực hiện vụ tấn công, thu về khoảng 25 triệu USD.

Công tố viên cũng cho biết hai anh em đã tìm kiếm trên Google các cụm từ như “cách rửa crypto” và “luật sư crypto hàng đầu” trong quá trình chuẩn bị, dù phía bào chữa cho rằng các tìm kiếm này diễn ra trong khuôn khổ tư vấn pháp lý nên không nên được đưa ra trước tòa.

Chen cũng khai rằng nhóm Flashbots – đơn vị phát triển phần mềm MEV-Boost – đã khắc phục lỗ hổng trong vòng 24 giờ sau vụ việc.

Robert Miller, nhà phát triển của Flashbots, cũng làm chứng rằng sau đó những người bị cáo buộc đã liên hệ ẩn danh, đề nghị ông không gọi vụ việc là “tấn công” để đổi lấy việc chia sẻ chi tiết một chiến lược tương tự. Ông thừa nhận đã đồng ý, dù phía luật sư bào chữa từng gửi thư phản đối, cho rằng lời khai của ông chỉ dựa trên chuyên môn chứ không phải điều tra trực tiếp.

Phía bào chữa cũng nộp đơn yêu cầu tòa không cho phép Chen đưa ra quan điểm cá nhân hiện tại về vụ việc, cho biết anh “nhiều lần khẳng định với chính phủ rằng mình không nghĩ hành động đó là phi pháp hay sai trái vào thời điểm diễn ra,” và lập luận rằng mọi cảm giác hối hận sau cáo trạng đều không liên quan đến nhận thức của các bị cáo khi đó.

• Ba người đàn ông bị bắt vì bắt cóc và cướp tiền điện tử tại Ukraine
• Hacker Triều Tiên biến thư viện phần mềm thành công cụ phát tán mã độc

Vương Tiễn