In een precedent scheppende zaak heeft Shakeeb Ahmed donderdag schuldig gepleit voor aanklachten in verband met hacks op twee gedecentraliseerde cryptocurrency exchanges, waaronder de aanval in juli op de Solana gedecentraliseerde exchange Nirvana Finance.
Als onderdeel van zijn pleidooi heeft de 34-jarige inwoner van New York ermee ingestemd om meer dan $12 miljoen aan gestolen fondsen te verbeuren.
Dit is “de eerste veroordeling ooit voor een dergelijke hack”, zei Damian Williams, openbaar aanklager voor het zuidelijke district van New York, in een verklaring.
Ahmed maakte gebruik van kwetsbaarheden in de smart contracts van de beurzen, die worden gebruikt om transacties te automatiseren. Bij één beurs heeft hij het systeem misleid om hem afgelopen juli $9 miljoen aan valse vergoedingen te geven. Bij Nirvana Finance stal hij $3,6 miljoen – in feite de volledige holdings – ook door slimme contracten te manipuleren, aldus aanklagers.
Hij werd in juli gearresteerd.
De senior security engineer probeerde vervolgens het geld te verbergen via cryptocurrency mixing services, blockchain transfers en overzeese rekeningen. Hij onderzocht ook hoe hij vervolging kon ontvluchten, door te zoeken naar termen als “witwassen van bewijs” en “burgerschap kopen”, aldus de aanklacht.
Nadat de eerste aanklachten waren ingediend voor de eerste aanval in juli, onthulde het pleidooi van donderdag de rol van Ahmed in de tot nu toe onopgeloste zaak waarbij Nirvana Finance, een Solana DEX, werd uitgebuit. Hij heeft ermee ingestemd om al het verduisterde geld terug te geven aan de slachtoffers.
Aanklagers zeggen dat Ahmed een flitslening van $10 miljoen gebruikte om zijn aanval op Nirvana uit te voeren. Hij gebruikte een exploit die hij ontdekte in de smart contracts van Nirvana om ANA te kopen tegen een lage prijs, in plaats van tegen de hogere prijs die Nirvana hem in rekening zou brengen gezien de omvang van zijn aankoop.
En zodra de prijs van ANA was aangepast om zijn grote aankoop te weerspiegelen, verkocht hij de ANA door en maakte hij ongeveer $3,6 miljoen winst.
Toen Nirvana zich realiseerde wat er was gebeurd, bood het de beveiligingsingenieur een bug bounty aan van maximaal $600.000 als hij de rest van het geld zou teruggeven. Maar Ahmen eiste dat hij $1,4 miljoen mocht houden. Toen Nirvana weigerde, liepen de gesprekken vast en hield hij al het gestolen geld.
Aan de Nirvana Hacker:
Namens de Nirvana Finance-gemeenschap vragen we u nederig om het gestolen geld uit onze schatkist terug te geven. 1/5
– Nirvana Finance (@nirvana_fi) July 28, 2022
De 3,6 miljoen dollar aan gestolen fondsen vertegenwoordigden bijna alle fondsen van de gedecentraliseerde Solana beurs, die daarom kort na Ahmed’s aanval werd gesloten.
Williams zei dat de veroordeling “laat zien dat fraude fraude is, hoe geavanceerd de gebruikte methoden ook zijn, en dat we je snel zullen pakken en veroordelen”.
Ahmed wordt op 13 maart veroordeeld door rechter Victor Marrero in het zuidelijke district van New York. Er staat hem tot 5 jaar gevangenisstraf te wachten voor computerfraude.
