Ένας Αμερικανοϊσραηλινός υπήκοος με το όνομα Alexander Gurevich, συνελήφθη στο Ισραήλ για την εικαζόμενη συμμετοχή του στο hack του έξυπνου συμβολαίου της πλατφόρμας Nomad Bridge τον Αύγουστο του 2022, που επέτρεψε σε χάκερ να αποσπάσουν 190 εκατομμύρια δολάρια.
Δείτε επίσης: Κυβερνοεπίθεση διακόπτει τα συστήματα πληρωμών στο Ισραήλ
Η πλατφόρμα ανάλυσης blockchain TRM Labs παρείχε κρίσιμες πληροφορίες στις διεθνείς διωκτικές αρχές, οδηγώντας στην ταυτοποίηση του Gurevich, ο οποίος θεωρείται ότι διαδραμάτισε κεντρικό ρόλο σε μία από τις μεγαλύτερες κυβερνοεπιθέσεις στην ιστορία του αποκεντρωμένου χρηματοπιστωτικού τομέα (DeFi). Σύμφωνα με την εταιρεία ανάλυσης blockchain, ο Gurevich αναμένεται σύντομα να εκδοθεί στις Ηνωμένες Πολιτείες, καθώς οι σχετικές νομικές διαδικασίες έχουν ήδη εγκριθεί.
Η Nomad Bridge είναι ένα πρότυπο cross-chain, το οποίο επιτρέπει στους χρήστες να μεταφέρουν περιουσιακά στοιχεία μεταξύ διαφορετικών blockchain. Την 1η Αυγούστου 2022, κακόβουλοι χρήστες εκμεταλλεύτηκαν ένα σοβαρό κενό ασφαλείας που εισήχθη σε μια ενημέρωση του έξυπνου συμβολαίου Replica, συγκεκριμένα στη συνάρτηση process().
Αν και το συμβόλαιο υποτίθεται πως θα επαλήθευε αποδείξεις μηνυμάτων πριν την αποδέσμευση των κεφαλαίων, μια λανθασμένη ρύθμιση επέτρεπε την αποδοχή οποιουδήποτε μηνύματος με σωστό root hash, ακόμη και αν η υποκείμενη απόδειξη ήταν άκυρη.
Αφού ένας πρώτος επιτιθέμενος εντόπισε το κενό της Nomad Bridge, το hack διαδόθηκε ταχύτατα σε εκατοντάδες πορτοφόλια, καθώς απαιτούσε απλώς την αντιγραφή και επικόλληση μιας συγκεκριμένης μορφής συναλλαγής.
Αυτή η «συλλογικού τύπου» επίθεση οδήγησε σε μια χαοτική και αποκεντρωμένη λεηλασία της γέφυρας, αποστραγγίζοντας πάνω από 190 εκατομμύρια δολάρια σε ETH, USDC, WBTC και tokens τύπου ERC-20.
Δείτε ακόμα: Ιρανοί χάκερ παρουσιάζονται ως γερμανικό Πρακτορείο Μοντέλων
Η TRM Labs σχολιάζει ότι το συγκεκριμένο κενό ασφαλείας ήταν εξαιρετικά εύκολο να αξιοποιηθεί, με αποτέλεσμα ακόμα και άτομα χωρίς ιδιαίτερες γνώσεις hacking ή τεχνογνωσία στο blockchain να συμμετάσχουν στην εκμετάλλευσή του. Ωστόσο, εμπλοκή φέρεται να είχαν και έμπειροι χάκερ από τη Βόρεια Κορέα.
Δεν θεωρείται ότι ο Alexander Gurevich έγραψε ή ξεκίνησε ο ίδιος τον κώδικα της επίθεσης, ωστόσο η TRM Labs αναφέρει ότι «διαδραμάτισε κεντρικό ρόλο» και τα στοιχεία δείχνουν πως συνωμότησε με άλλους για να ξεπλύνει μεγάλα ποσά από τα κλεμμένα κεφάλαια.
Πορτοφόλια που συνδέονται με τον Gurevich έλαβαν κλεμμένα assets μέσα σε λίγες ώρες μετά το hack της Nomad Bridge, γεγονός που υποδηλώνει στενό συντονισμό με τους αρχικούς επιτιθέμενους.
Σύμφωνα με τα δεδομένα της TRM Labs, ο Gurevich χρησιμοποίησε τεχνικές όπως το chain-hopping για να μεταφέρει τα κλεμμένα tokens σε διάφορα blockchains, τον mixer Tornado Cash για να αποκρύψει την προέλευση των κεφαλαίων και αντάλλαξε ETH με κρυπτονομίσματα που ενισχύουν την ανωνυμία, όπως το Monero (XMR) και το Dash.
Για να ρευστοποιήσει τα έσοδα, ο Gurevich χρησιμοποίησε μη θεσμικά ανταλλακτήρια (non-custodial exchanges), μεσάζοντες εξωχρηματιστηριακών συναλλαγών (OTC brokers) και υπεράκτιους τραπεζικούς λογαριασμούς που συνδέονταν με εικονικές ή αδιαφανείς νομικές οντότητες. Επιπλέον, μετέτρεψε μέρος των κρυπτονομισμάτων σε παραδοσιακό νόμισμα μέσω παρόχων που δεν τηρούσαν πρότυπα KYC (Know Your Customer). Παρά τις προσπάθειες απόκρυψης και τον χρόνο που έχει μεσολαβήσει από τα γεγονότα, η ανάλυση των συναλλαγών στο blockchain παρείχε αρκετά στοιχεία για την αποκάλυψη της ταυτότητας του Gurevich, οδηγώντας τελικά στη σύλληψή του.
Δείτε επίσης: Ιρανοί χάκερ στοχεύουν τον αεροπορικό τομέα των Η.Α.Ε. με το Golang backdoor
Παρότι πολλοί πιστεύουν πως οι συναλλαγές σε blockchain είναι πλήρως ανώνυμες, στην πραγματικότητα είναι διαφανείς και δημόσιες — κάτι που επιτρέπει σε εξειδικευμένες εταιρείες, όπως η TRM Labs ή η Chainalysis, να εντοπίζουν μοτίβα, να συνδέουν πορτοφόλια και τελικά να αποκαλύπτουν τις ταυτότητες των δραστών, ακόμη και μετά από πολύ καιρό. Η ασφάλεια στην DeFi δεν εξαρτάται μόνο από τον κώδικα, αλλά και από το οικοσύστημα επιτήρησης και επιβολής του νόμου που πλέον μαθαίνει να κινείται γρήγορα και τεχνικά.
Πηγή: bleepingcomputer
