16 Апреля 2025 11:31 16 Апр 2025 11:31 |

Поделиться

Математика обвинили в краже криптовалюты на $65 млн с помощью профессиональных навыков

Розыск подозреваемого

Власти США обвинили криптохакера в краже $65 млн у криптобиржы KyberSwap и Indexed Finance, пишет The Globe and Mail.

Канадского математика Андина Меджедовича (Andean Medjedovic) обвинили в краже более $65 млн в криптовалюте с помощью сложных эксплойтов на децентрализованных финансовых ИТ-платформах. Согласно сообщению Минюста США, в настоящее время Меджедович находится в розыске и скрывается от американских властей.

Андин Меджедович — молодой человек из Гамильтона, провинция Онтарио в Канаде. В возрасте 18 лет, вскоре после получения степени магистра в Университете Ватерлоо (одном из ведущих технических университетов Канады), он начал активно заниматься криптовалютной сферой. Его академическая подготовка в области математики и, вероятно, программирования дала ему глубокое понимание сложных ИТ-систем, таких как смарт-контракты и блокчейн-технологии, которые лежат в основе децентрализованных финансах (DeFi)-платформ.

Осенью 2021 г. Меджедович провел серию сложных транзакций, чтобы воспользоваться ИТ-уязвимостью в коде децентрализованной финансовой платформы Indexed Finance — это ИТ-платформа, которая управляет пулами ликвидности, позволяя пользователям инвестировать в корзины криптоактивов, автоматически балансируемые смарт-контрактами. Уязвимость, которую обнаружил канадец, вероятно, была связана с ошибкой в логике смарт-контракта, управляющего этими пулами.

Технический аспект

В DeFi уязвимости в смарт-контрактах часто связаны с некорректной обработкой транзакций, ошибками в расчетах цен или недостаточной защитой от манипуляций (например, атаки типа флэш-кредит). Это эксплойты в DeFi, когда смарт-контракт, назначенный для поддержки предоставления флэш-кредитов, подвергается атаке с целью выкачивания активов, хранящихся в каком-либо конкретном пуле. В таких ИТ-атаках злоумышленник открывает кредит, использует этот заемный капитал для покупки других активов с арбитражом и быстро выплачивает кредит обратно, забирая себе в качестве прибыли оставшиеся после всего процесса активы.

Меджедович, используя свои знания, провел серию транзакций, которые позволили ему вывести около $16,5 млн из двух пулов ликвидности платформы. Это могло включать манипуляцию ценами активов в пуле или использование непредусмотренных сценариев в коде.

Реакция руководства ИТ-платформы

Руководство Indexed Finance отследило кибератаку и идентифицировало Андина Меджедовича как виновника. Вместо немедленного обращения в правоохранительные органы они предложили ему сделку, типичную для мира кибербезопасности: вернуть 90% похищенных средств, а оставшиеся 10% оставить себе в качестве bug bounty т.е. награда за обнаружение ИТ-уязвимости. Это предложение отражало желание руководства платформы Indexed Finance минимизировать потери и одновременно признать, что ошибка в их коде сделала атаку возможной.

Меджедович, несмотря на перспективу легальной карьеры в качестве «белого хакера» (этичного хакера, который помогает находить уязвимости за вознаграждение), отказался от сделки. Его позиция основывалась на философии, популярной в DeFi-сообществе, известной как «Код — это закон». Эта концепция предполагает, что в децентрализованных ИТ-системах, где нет центрального органа управления, правила определяются исключительно кодом смарт-контрактов. Если код допускает определенные действия (даже если они приводят к финансовым потерям), эти действия считаются легитимными.

Канадский математик утверждал, что его действия были законными, поскольку он просто использовал возможности, которые предоставил открытый исходный код ИТ-платформы Indexed Finance. В его понимании эксплуатация уязвимости не была взломом в традиционном смысле, а скорее законным взаимодействием с ИТ-системой, чьи правила прописаны в коде.

В 2025 г. идея «Код — это закон» вызывает споры. С одной стороны, она подчеркивает автономию и прозрачность децентрализованных ИТ-систем. С другой стороны, она создает этическую и юридическую серую зону, где действия, приводящие к финансовым потерям, могут быть оправданы техническими особенностями ИТ-системы. В случае Меджедовича эта философия стала основой его защиты, но не защитила его от юридических последствий.

Повторная атака

После отказа от сделки Меджедович начал скрываться от правосудия. Примерно через два года, в 2023 г., он снова атаковал другую децентрализованную биржу, на этот раз похитив $48,4 млн. Детали этой кибератаки не указаны, но можно предположить, что она также была связана с эксплуатацией уязвимости в смарт-контракте, учитывая его предыдущий опыт.

Сумма в $48,4 млн указывает на то, что канадский математик выбрал более крупную или менее защищенную ИТ-платформу. Это также демонстрирует его растущую уверенность и, возможно, совершенствование методов. Повторная кибератака значительно увеличила его юридические проблемы, так как она показала систематический характер его действий, что усугубило обвинения.

Юридические последствия

На 16 апреля 2025 г. Андин Меджедович, которомуж уже 22 года, предъявлено пять уголовных обвинений, включая: мошенничество с использованием электронных средств; попытки вымогательства; отмывание денег.

Если его признают виновным, ему грозит длительный тюремный срок, возможно, десятилетия. Тяжесть обвинений связана с крупными суммами похищенных средств ($16,5 млн + $48,4 млн = $64,9 млн) и повторяющимся характером преступлений.

Юридическая система США сталкивается с вызовом, так как DeFi-платформы работают в децентрализованной среде, где традиционные законы могут быть трудно применимы. Аргумент Меджедовича о «Код — это закон» может быть использован его защитой, но в большинстве юрисдикций эксплуатация уязвимостей с целью хищения средств считается преступлением, независимо от философии.

Аналогичный случай

В 2021 г. полиция города Гамильтон арестовала местного подростка (его имя не указано в запросе) по подозрению в краже криптовалюты на сумму $36,5 млн у гражданина США. Этот случай не связан напрямую с Меджедовичем, но произошел в том же городе и в тот же год, что подчеркивает растущую активность киберпреступников в регионе.

Подросток использовал технику, известную как SIM-свопинг, чтобы получить доступ к криптокошельку жертвы. Злоумышленник собирает персональную информацию о жертве (например, имя, адрес, номер телефона). Используя социальную инженерию, он связывается с оператором мобильной связи жертвы и убеждает оператора перенести номер телефона жертвы на новую SIM-карту, подконтрольную злоумышленнику. После этого злоумышленник получает доступ ко всем сообщениям и звонкам, связанным с номером жертвы, включая коды для двухфакторной аутентификации (2FA). В данном случае подросток перехватил коды 2FA, которые использовались для доступа к защищенному криптокошельку жертвы, и вывел из него криптовалюту на сумму $36,5 млн.

SIM-свопинг не требует глубоких знаний в программировании или блокчейн-технологиях, в отличие от атак Меджедовича. Это ИТ-атака, основанная на социальной инженерии и слабостях в системе телекоммуникаций. Однако ее последствия могут быть катастрофическими, особенно если жертва хранит крупные суммы в криптовалюте.

Подросток был арестован полицией Гамильтона в 2021 г. Детали его наказания не указаны, но кража на сумму $36,5 млн считается серьезным преступлением, и в Канаде за подобные действия могут быть применены суровые меры, особенно если подросток был признан совершеннолетним на момент совершения преступления.

Этот случай также подчеркивает уязвимость современных систем безопасности, таких как 2FA, основанных на SMS, и необходимость перехода к более безопасным методам, например, аппаратным ключам или биометрической аутентификации.

Дырявая безопасность

Случаи Меджедовича и подростка из Гамильтона иллюстрируют, как молодые люди с техническими навыками могут использовать уязвимости в современных ИТ-системах для совершения крупных киберпреступлений. Меджедович, опираясь на свои знания блокчейна и философию DeFi, пошел по пути «чёрного хакера», что привело к серьезным юридическим последствиям. Подросток, использовавший SIM-свопинг, показал, как даже менее сложные методы могут нанести огромный ущерб.

Эти ИТ-инциденты подчеркивают необходимость: усиления безопасности DeFi-платформ через аудит смарт-контрактов; перехода к более надежным методам аутентификации, исключающим уязвимости вроде SIM-свопинга; разработки четких правовых рамок для регулирования децентрализованных финансов и киберпреступлений.

Меджедовичу, если его признают виновным, грозят десятилетия тюрьмы, что станет важным прецедентом для других хакеров в DeFi. Случай подростка, вероятно, также повлиял на ужесточение мер против SIM-свопинга в Канаде и за ее пределами. Эти истории служат напоминанием о том, как быстро развивающиеся технологии опережают правовые и этические нормы, создавая вызовы для общества и правоохранительных органов во всем мире.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка