Два брата из MIT взломали Ethereum за 12 секунд и унесли $25 миллионов

История, которая выглядит как сценарий технотриллера. Два выпускника MIT, братья Антон и Джеймс Перайр-Буэно, нашли слабое место в инфраструктуре Ethereum и за 12 секунд вывели около 25 миллионов долларов. Жюри потом четыре недели пыталось понять, было ли это вообще преступлением, и так и не договорилось.

Оба изучали computer science в MIT. Их отец когда-то возглавлял факультет аэронавтики и астронавтики того же института. В конце 2022 года братья нашли уязвимость в MEV-boost, софте, который в тот момент работал примерно у 90% валидаторов сети Ethereum. Именно через него проходят транзакции, на которых зарабатывают MEV-боты, охотящиеся за прибылью от порядка транзакций в блоке.

Подготовка заняла месяцы. Они подняли 16 поддельных валидаторских нод, гоняли тестовые транзакции и изучали поведение ботов. Потом подкинули приманку: транзакции, на которые боты были запрограммированы реагировать. В момент, когда боты бросались в атаку, братья эксплуатировали уязвимость и получали доступ к содержимому блока до того, как он финализировался.

Дальше все просто и цинично. Они перенаправили 25 миллионов долларов в реальной крипте, а вместо них оставили ботам бесполезные неликвидные токены. Монеты, оставшиеся у ботов, стоили фактически ноль. Все это уложилось в 12 секунд, ровно в длину одного блока Ethereum.

Пострадавшие пытались выйти на контакт и просили вернуть деньги. Братья не ответили. После эксплойта Антон, судя по истории поиска, гуглил top crypto lawyers, wire fraud statute of limitations и money laundering statute of limitations. Слово statute он оба раза написал как statue. Джеймс тем временем пришел в банк и попросил депозитную ячейку, в которую влезет ноутбук.

В мае 2024 года Минюст США арестовал братьев и назвал это первым делом такого рода в истории. Каждому грозило до 20 лет за мошенничество с использованием средств связи и отмывание денег. Линия защиты была простой: все, что мы сделали, укладывается в правила Ethereum. Валидаторы по дизайну должны максимизировать прибыль, мы просто сделали это лучше других.

Суд шел четыре недели. По сообщениям, часть присяжных плакала во время совещаний. Договориться они так и не смогли, судья объявил mistrial. Два выпускника MIT выжали из Ethereum 25 миллионов за 12 секунд, а присяжные не смогли решить, преступление это или нет.

Либо это лучшая защита в истории юриспруденции, либо самая честная вещь, которую кто-либо говорил про крипту.