Kasus Bot MEV: Memanfaatkan aturan kolam aset Ethereum untuk berbuat kriminal

Inti dari kasus ini bukan sekadar menjalankan robot MEV untuk mendapatkan keuntungan, melainkan dua pria asal Amerika Serikat memanfaatkan celah robot MEV untuk melakukan “Hacker” dan melakukan pemerasan, dengan jumlah kasus sekitar 25 juta dolar.

Satu, Situasi Dasar

Orang yang terlibat adalah Anton Peraire-Bueno (berusia 24 tahun saat itu) dan James Peraire-Bueno (berusia 28 tahun saat itu), keduanya adalah saudara, lulusan Massachusetts Institute of Technology. Departemen Kehakiman AS telah menuduh mereka karena berkonspirasi melakukan penipuan telekomunikasi, penipuan telekomunikasi, serta berkonspirasi mencuci uang.

Tindakan kriminal utama mereka adalah, memanfaatkan sifat publik dari “validator” di blockchain Ethereum dan sistem MEV (maximum extractable value), merencanakan dan melaksanakan serangan yang rumit, “mencuri” cryptocurrency dari transaksi yang menunggu untuk diproses, lalu memeras korban dengan jumlah yang terlibat sekitar 25 juta dolar cryptocurrency. Para pihak yang terlibat dalam kasus ini telah ditangkap dan didakwa pada Mei 2024, dan saat ini kasus tersebut sedang dalam proses peradilan, mereka dapat menghadapi hukuman penjara lebih dari 20 tahun.

Dua, Detail Kunci

Untuk memahami kasus ini, perlu memahami beberapa konsep kunci:

MEV (Nilai yang Dapat Diekstrak Maksimal): Di blockchain, keuntungan maksimal yang dapat diperoleh dengan mengatur, memasukkan, atau mengecualikan urutan transaksi. Aktivitas MEV yang umum termasuk arbitrase dan likuidasi. Operator Bot MEV yang sah bersaing untuk mendapatkan posisi transaksi yang menguntungkan dengan membayar biaya Gas yang tinggi.

Memori Transaksi (Mempool): Sebuah kolam transaksi publik yang menunggu untuk dikemas oleh validator ke dalam blok.

Validator (Validator): Peserta jaringan yang bertanggung jawab untuk mengemas transaksi dan membuat blok baru.

Metode mereka dapat disederhanakan menjadi beberapa langkah berikut:

Langkah Pertama: Mengintip dan Menentukan Lokasi. Mereka seperti Bot MEV lainnya, terus memantau Mempool Ethereum, mencari peluang perdagangan arbitrase yang menguntungkan. Mereka menemukan beberapa bundel arbitrase yang terdiri dari tiga transaksi yang dapat menghasilkan keuntungan tinggi.

Langkah Kedua: Merencanakan “Perangkap”. Mereka tidak menawar transaksi ini dengan meningkatkan biaya Gas seperti orang normal, melainkan merancang skema serangan yang kompleks. Mereka memanfaatkan celah dalam kode Ethereum yang secara khusus menargetkan cara kerja MEV-Boost (sebuah perangkat lunak yang membantu validator mendapatkan MEV).

Langkah Tiga: Melakukan Serangan - “Meretas” Transaksi. Mereka berhasil “meretas” transaksi yang tertunda dengan mendirikan node validator mereka sendiri dan memanfaatkan pengetahuan teknis mereka dalam jendela waktu yang sangat singkat (sekitar 12 detik).

Secara spesifik, mereka melalui serangkaian operasi yang kompleks, mencegah transaksi ini dibungkus dengan benar ke dalam blok, sambil membuat MEV Bot yang awalnya mengajukan transaksi ini percaya bahwa transaksi telah gagal.

Langkah Empat: Mencuri dan Membangun Kembali. Ketika MEV Bot asli menyerah, mereka dengan cepat menyusun kembali transaksi “yang disandera” ini dan mengarahkan keuntungan arbitrase ke alamat dompet yang mereka kontrol. Seluruh proses terlihat di blockchain seperti serangkaian penyusunan ulang transaksi yang normal, tetapi pada kenyataannya adalah pencurian yang memanfaatkan celah.

Langkah kelima: Mencoba mencuci uang dan pemerasan. Setelah berhasil, mereka tidak berhenti. Mereka mencuci uang hasil curian melalui serangkaian operasi on-chain yang kompleks (misalnya menggunakan mixer, jembatan lintas rantai, memindahkan dana ke bursa cryptocurrency luar negeri) untuk mencoba menyembunyikan sumber dana.

Lebih parahnya, mereka menghubungi korban dan mengancam bahwa jika korban tidak membayar tebusan, mereka akan melaporkan aktivitas cryptocurrency korban ke otoritas pajak dan mengungkap identitasnya. Ini merupakan pemerasan.

Tiga, Pengaruh Penting

Ini adalah pertama kalinya Departemen Kehakiman AS mengajukan tuntutan pidana terkait serangan yang berhubungan dengan MEV. Mereka mengklasifikasikan perilaku yang relatif baru dan sangat teknis di bidang blockchain sebagai kejahatan pidana. Kasus ini secara jelas membedakan antara “MEV yang bersaing” dan serangan hacker yang “menipu”. Hanya menjalankan bot MEV untuk berpartisipasi dalam kompetisi tidak melanggar hukum, tetapi memanfaatkan celah untuk mencuri nilai transaksi yang telah ditemukan orang lain dan melakukan pemerasan, merupakan kejahatan serius.

Wakil Menteri Kehakiman AS, Lisa Monaco, menekankan dalam pernyataannya: “Terdakwa memanfaatkan pengetahuan teknis yang sangat profesional untuk memanipulasi dan menipu blockchain Ethereum, sehingga mencuri cryptocurrency. Meskipun terdakwa menggunakan metode pelanggaran yang kompleks, mereka tetap teridentifikasi dan ditangkap.” Sementara itu, pihak penuntut juga mengajukan bahwa kebijakan aset digital harus ditetapkan oleh Kongres, bukan diserahkan kepada pengadilan untuk diputuskan, yang mungkin akan menjadi preseden untuk kasus-kasus yang terkait dengan cryptocurrency.

Kasus ini mengirimkan sinyal yang kuat kepada para pelaku di bidang DeFi (Keuangan Terdesentralisasi) dan MEV: bahkan dalam bidang di mana kode adalah hukum, memanfaatkan celah teknologi untuk keuntungan ilegal akan tetap dikenakan sanksi oleh hukum tradisional. Ini juga mendorong komunitas blockchain seperti Ethereum untuk lebih memperhatikan keamanan protokol dan infrastruktur mereka.

Empat, Pemikiran Ekspansif

Dalam kasus ini, tindakan pelaku yang secara ilegal memperoleh cryptocurrency milik orang lain melalui cara-cara teknis, memenuhi unsur-unsur kejahatan pencurian dalam hukum pidana kita. Sesuai dengan Pasal 264 Kitab Undang-Undang Hukum Pidana, menyusup untuk mencuri barang milik publik dan pribadi dengan jumlah yang sangat besar, dihukum dengan penjara lebih dari sepuluh tahun atau penjara seumur hidup. Jumlah yang terlibat dalam kasus ini mencapai 25 juta dolar AS (setara dengan 180 juta yuan RMB), jauh melebihi standar “jumlah yang sangat besar”. Tindakan pemerasan mereka mungkin memenuhi unsur kejahatan pemerasan. Pelaku mengancam untuk melaporkan sebagai intimidasi untuk meminta barang, sepenuhnya sesuai dengan ketentuan Pasal 274 Kitab Undang-Undang Hukum Pidana. Kejahatan ini dijatuhi hukuman bersamaan dengan pencurian, mencerminkan evaluasi menyeluruh terhadap tindakan kriminal yang kompleks. Tentu saja, setelah itu mereka mencoba menyembunyikan hasil kejahatan, juga diduga memenuhi unsur kejahatan pencucian uang.

Proses peradilan di negara saya, berdasarkan peninjauan mendalam terhadap unsur-unsur seperti niat jahat pelaku, jumlah keuntungan ilegal, dan ilegalitas metode teknis, serta sesuai dengan panduan terkait dari Mahkamah Agung, mata uang virtual dapat dianggap sebagai objek properti yang dilindungi oleh hukum pidana. Secara spesifik dalam aspek operasional prosedur peradilan pidana, kasus ini menyoroti tiga masalah inti. Pertama, penetapan kejahatan, memanfaatkan celah blockchain untuk memindahkan aset secara ilegal, pada dasarnya tetap merupakan kejahatan pelanggaran hak milik. Kedua, penetapan bukti, data blockchain sebagai standar pengumpulan, pengambilan, dan penetapan bukti elektronik. Ketiga, kolaborasi lintas batas: jika melibatkan subjek atau aliran dana ke China, perlu memulai bantuan peradilan pidana internasional.

Kasus ini juga memberikan wawasan dari sudut pandang lain, bahwa negara kita perlu memperkuat analisis terhadap kejahatan baru di bidang blockchain, menyempurnakan penjelasan hukum yang relevan, dan memastikan bahwa sambil menjaga prinsip netralitas teknologi, tindakan kriminal yang memanfaatkan teknologi baru dapat ditangani secara efektif.

Singkatnya, kasus robot MEV senilai 25 juta dolar AS ini pada dasarnya adalah pencurian dan pemerasan finansial berteknologi tinggi yang memanfaatkan celah dalam protokol blockchain. Tindakan terdakwa jauh melampaui batas kompetisi MEV yang sah, dan merupakan penipuan dan pencucian uang yang jelas. Hasil dari persidangan kasus ini akan menetapkan preseden hukum yang penting untuk penanganan kejadian serupa di masa depan.