سرقت ۶۵ میلیون دلاری از KyberSwap؛ هکر در یک قدمی ۲۰ سال زندان

اتهام هک ۶۵ میلیون دلاری: کیفرخواست علیه شهروند کانادایی به دلیل حملات به KyberSwap و Indexed Finance

دادستان‌های فدرال در ایالات متحده یک شهروند کانادایی را به سوءاستفاده از آسیب‌پذیری‌های دو پروتکل مالی غیرمتمرکز متهم کرده‌اند و ادعا می‌کنند که او میلیون‌ها دلار ارز دیجیتال را سرقت کرده و سعی در پنهان کردن ردپای خود داشته است.

وزارت دادگستری در ۳ فوریه اعلام کرد که اندین مجدویچ، فارغ‌التحصیل ریاضیات از دانشگاه واترلو، به اتهام کلاهبرداری اینترنتی، هک کامپیوتر، تلاش برای اخاذی و پولشویی در ارتباط با حملات به KyberSwap و Indexed Finance تحت پیگرد قانونی قرار گرفته است.

بر اساس این اتهامات، مجدویچ قراردادهای هوشمند هر دو پلتفرم را دستکاری کرده و با استفاده از معاملات فریبنده، سیستم‌های خودکار را به اشتباه در محاسبه مقادیر کلیدی انداخته است. او با سوءاستفاده از این نقص‌ها، ظاهراً ۴۸.۸ میلیون دلار از KyberSwap در سال ۲۰۲۳ و ۱۶.۵ میلیون دلار از Indexed Finance در سال ۲۰۲۱ را به سرقت برده است.

در کیفرخواست آمده است که مجدویچ از طریق معاملات فریبنده خود توانسته «میلیون‌ها دلار از وجوه سرمایه‌گذاران را با قیمت‌های مصنوعی» برداشت کند که این امر باعث شد قربانیان عملاً سرمایه‌گذاری‌های بی‌ارزش داشته باشند.

دادستان‌ها افزودند که مجدویچ حملات به KyberSwap را طی چندین ماه با دقت برنامه‌ریزی کرده و یک فهرست فایل با برچسب‌هایی مانند «KYBER_KILL» و «templateexploit» را نگهداری می‌کرد. او یک «فهرست هدف استخرهای نقدینگی» ایجاد کرد و حمله را به‌طور استراتژیک زمان‌بندی کرد و یادداشت‌هایی مانند «زمان مناسب برای حمله را پیدا کن! مدیرعامل در هوچی‌مین است.» را نوشت. او حتی زمان بهینه برای حمله را محاسبه کرد تا با زمانی که آمریکایی‌ها و اروپایی‌ها احتمالاً خواب بودند، همزمان شود.

پس از حمله، دادستان‌ها می‌گویند که مجدویچ سعی کرد از توسعه‌دهندگان، سرمایه‌گذاران و اعضای DAO KyberSwap اخاذی کند و در ازای بازگرداندن ۵۰٪ از وجوه سرقتی، کنترل پروتکل را درخواست کرد.

در همان زمان، او در حال تلاش برای پنهان کردن ردپای خود بود. مجدویچ و یک همدست او ظاهراً ارزهای دیجیتال سرقتی را از طریق میکسرهای کریپتو و پل‌های بلاکچین پولشویی کرده و وجوه را در چندین شبکه جابه‌جا کردند تا منبع آنها را پنهان کنند.

او همچنین با استفاده از هویت‌های جعلی در صرافی‌های کریپتو حساب باز کرد و سعی کرد دارایی‌های خود را بدون جلب توجه نقد کند. علاوه بر این، هنگامی که یک پروتکل پل تراکنش‌های او را مسدود کرد، مجدویچ ظاهراً به یک مأمور مخفی اجرای قانون ۸۵,۰۰۰ دلار پرداخت کرد و فکر می‌کرد که آنها یک توسعه‌دهنده هستند که می‌توانند محدودیت‌ها را دور بزنند و ۵۰۰,۰۰۰ دلار از کریپتو مسدود شده او را آزاد کنند.

در صورت محکومیت، مجدویچ با مجازات‌های سنگینی مواجه خواهد شد، از جمله تا ۲۰ سال زندان برای هر مورد از کلاهبرداری اینترنتی، تلاش برای اخاذی و پولشویی، و همچنین ۱۰ سال برای آسیب غیرمجاز به یک کامپیوتر محافظت‌شده.

آژانس‌های اجرای قانون، از جمله واحد جرایم سایبری پلیس ملی هلند و دادستان‌های ایالات متحده، همچنان به دنبال مجدویچ هستند که همچنان متواری است.

در ۲۰ دسامبر ۲۰۲۳، KyberSwap یک برنامه خزانه‌داری برای جبران خسارت کاربران آسیب‌دیده از هک را اعلام کرد. در یک پست اخیر در شبکه اجتماعی X، این پروتکل اعلام کرد که این کمک به طور کامل به ۱۳۷۱ گیرنده توزیع شده است.