前亞馬遜工程師承認駭客入侵加密貨幣交易所，被沒收超過1230萬美元

據美國司法部新聞稿，34歲的紐約市民Shakeeb Ahmed承認駭客入侵了Nirvana Finance和另外一家去中心化加密貨幣交易所，這也是美國有史以來首次因智慧合約入侵而定罪。

大約是在2022年7月2日和3日，Shakeeb Ahmed利用一家加密貨幣交易所（新聞稿中未透露）的智慧合約中的一個漏洞進行了攻擊，透過操縱智慧合約引入虛假定價資料，產生了價值約900萬美元的誇大費用。在提取了這些費用之後，Shakeeb Ahmed跟該加密貨幣交易所交涉，表示如果交易所同意不將此次攻擊上報執法部門，他就只會拿走150萬美元，其餘被盜資金悉數歸還。

在第一次駭客攻擊後不久，大約在2022年7月28日，Shakeeb Ahmed又利用Nirvana Finance加密貨幣交易所的漏洞對其進行了閃電貸。Nirvana Finance買賣其加密貨幣代幣ANA的設計是，當使用者購買大量ANA時，ANA的價格會上漲，當使用者出售大量ANA時，ANA的價格會下降。

當時Shakeeb Ahmed用大約1000萬美元從Nirvana Finance購買了大量ANA，但他是利用在Nirvana智慧合約中發現的漏洞以初始低價購買，而不是根據他的購買量Nirvana Finance設計的更高價格。當ANA的價格更新以同步反映他的大宗購買時，Shakeeb Ahmed又以這個新的高價將他購買的ANA重新出售給Nirvana Finance，從而使他獲得了大約360萬美元的差價利潤。 

Nirvana Finance答應提供給Shakeeb Ahmed的“漏洞賞金”最高可達60萬美元，但Shakeeb Ahmed的要求是140萬美元，雙方未達成協議，Shakeeb Ahmed保留了所有不當得利。Shakeeb Ahmed竊取的360萬美元相當於是Nirvana Finance持有的全部資金，因此該交易所在攻擊後不久就關閉了。

在進行上述兩次入侵時，Shakeeb Ahmed是一家國際科技公司的高階安全工程師，他的簡歷上寫著他精通智慧合約的逆向工程和區塊鏈審計，如今看來確實精通，這些技能被他熟練運用於執行這些駭客攻擊之中。

在犯案後，Shakeeb Ahmed透過各種手段試圖掩蓋自己的痕跡，例如將盜竊資產兌換成—門羅幣（一種旨在為使用者提供增強隱私和匿名性的加密貨幣，使交易難以追蹤）。由於擔心被抓，他還考慮離開美國。警方發現他在網上搜尋有關他的駭客攻擊的資訊，以及與他逃離美國、避免引渡和保住被盜加密貨幣的能力有關的網站。例如，他搜尋了諸如“能用加密貨幣跨境嗎”、“如何阻止聯邦政府扣押資產”、“購買公民身份”等。

在本案中，Shakeeb Ahmed在美國地方法官面前承認犯有計算機欺詐罪（最高可判處五年監禁），並同意沒收其超過1230萬美元的資產。

編輯：左右裡

資訊來源：bleepingcomputer、美司法部

轉載請註明出處和本文連結