Vụ án Bots MEV: Lợi dụng quy tắc của pool tài sản Ethereum để phạm tội

Trọng tâm của vụ án này không chỉ đơn giản là việc vận hành Bots MEV để kiếm lợi, mà là hai người đàn ông Mỹ đã lợi dụng lỗ hổng của Bots MEV để thực hiện “tấn công Hacker” và tiến hành tống tiền, số tiền liên quan khoảng 25 triệu USD.

Một, Tình hình cơ bản

Người liên quan trong vụ án là Anton Peraire-Bueno (24 tuổi) và James Peraire-Bueno (28 tuổi), hai người là anh em, tốt nghiệp từ Viện Công nghệ Massachusetts. Bộ Tư pháp Hoa Kỳ đã buộc tội họ về tội âm mưu thực hiện lừa đảo viễn thông, lừa đảo viễn thông, cũng như âm mưu rửa tiền.

Hành vi phạm tội chính của họ là, lợi dụng tính công khai của “người xác thực” trên blockchain Ethereum và hệ thống MEV (Giá trị có thể khai thác tối đa), đã lên kế hoạch và thực hiện một cuộc tấn công phức tạp, “đánh cắp” tiền điện tử từ các giao dịch đang chờ xử lý, sau đó dùng nó để tống tiền nạn nhân, số tiền liên quan khoảng 25 triệu đô la tiền điện tử. Các đối tượng liên quan đến vụ án đã bị bắt và truy tố vào tháng 5 năm 2024, hiện vụ án đang trong quá trình xét xử, họ có thể đối mặt với án phạt lên đến hơn 20 năm tù.

Hai, chi tiết quan trọng

Để hiểu vụ án này, cần phải nắm rõ một vài khái niệm then chốt:

MEV (Giá trị có thể trích xuất tối đa): Lợi nhuận tối đa có thể đạt được trên blockchain bằng cách điều chỉnh, bao gồm hoặc loại bỏ thứ tự giao dịch. Các hoạt động MEV phổ biến bao gồm giao dịch chênh lệch giá và thanh lý. Các nhà điều hành Bots MEV hợp pháp đấu thầu vị trí giao dịch có lợi bằng cách trả phí Gas cao.

Bể nhớ giao dịch (Mempool): Một bể giao dịch công khai, chờ được các xác thực đóng gói vào khối.

Người xác thực (Validator): Những người tham gia mạng lưới chịu trách nhiệm đóng gói giao dịch và tạo ra các khối mới.

Phương pháp thực hiện tội phạm của họ có thể được đơn giản hóa thành các bước sau:

Bước đầu tiên: Quan sát và định vị. Họ giống như các Bots MEV khác, liên tục giám sát Mempool của Ethereum để tìm kiếm cơ hội giao dịch chênh lệch có lợi. Họ đã phát hiện ra một số gói chênh lệch được tạo thành từ ba giao dịch, có khả năng tạo ra lợi nhuận cao.

Bước 2: Lập kế hoạch “cái bẫy”. Họ không đấu thầu các giao dịch này như những người bình thường bằng cách tăng Gas fee, mà thay vào đó đã thiết kế một kế hoạch tấn công phức tạp. Họ đã lợi dụng một lỗ hổng trong mã Ethereum, nhắm mục tiêu vào cách thức hoạt động của MEV-Boost (một phần mềm giúp các xác thực viên thu được MEV).

Bước 3: Thực hiện tấn công - “Bắt cóc” giao dịch. Họ đã thiết lập nút xác thực của riêng mình và sử dụng kiến thức kỹ thuật của mình, trong một khoảng thời gian rất ngắn (khoảng 12 giây), đã thành công trong việc “bắt cóc” các giao dịch đang chờ xử lý.

Cụ thể, họ đã ngăn chặn những giao dịch này được đóng gói bình thường vào khối thông qua một loạt các thao tác phức tạp, đồng thời khiến cho những Bots MEV đã gửi những giao dịch gốc này nghĩ rằng giao dịch đã thất bại.

Bước 4: Đánh cắp và tái cấu trúc. Khi các Robot MEV ban đầu từ bỏ, họ nhanh chóng sắp xếp lại những giao dịch “bị bắt cóc” này và hướng lợi nhuận chênh lệch đến địa chỉ ví mà họ kiểm soát. Toàn bộ quá trình trên blockchain trông giống như một loạt các giao dịch tái cấu trúc bình thường, nhưng thực chất là việc đánh cắp thông qua việc khai thác lỗ hổng.

Bước 5: Cố gắng rửa tiền và tống tiền. Sau khi thành công, họ không dừng lại. Họ rửa tiền thông qua một loạt các hoạt động trên chuỗi phức tạp (ví dụ như sử dụng các công cụ trộn, cầu nối chuỗi chéo, chuyển tiền đến các sàn giao dịch tiền điện tử ở nước ngoài) nhằm che giấu nguồn gốc của tiền.

Nghiêm trọng hơn, họ đã liên hệ với nạn nhân và đe dọa rằng nếu bên kia không trả tiền chuộc, họ sẽ báo cáo hoạt động tiền điện tử của nạn nhân cho cơ quan thuế và công khai danh tính của họ. Điều này cấu thành tội cưỡng ép.

Ba, ảnh hưởng quan trọng

Đây là lần đầu tiên Bộ Tư pháp Hoa Kỳ khởi kiện hình sự đối với các hành vi tấn công liên quan đến MEV. Nó đã định nghĩa một hành vi tương đối mới và rất kỹ thuật trong lĩnh vực blockchain là tội phạm hình sự. Vụ án phân biệt rõ “MEV cạnh tranh” và “tấn công lừa đảo” của Hacker. Chỉ việc chạy Bots MEV để tham gia cạnh tranh thì không vi phạm pháp luật, nhưng việc lợi dụng lỗ hổng để đánh cắp giá trị giao dịch đã được người khác phát hiện và thực hiện tống tiền thì cấu thành tội phạm nghiêm trọng.

Phó Bộ trưởng Tư pháp Hoa Kỳ Lisa Monaco nhấn mạnh trong một tuyên bố: “Bị cáo đã lợi dụng kiến thức kỹ thuật chuyên môn cực kỳ cao để thao túng và lừa đảo trên chuỗi khối Ethereum, qua đó đánh cắp tiền điện tử. Mặc dù bị cáo đã sử dụng các phương pháp phạm tội phức tạp, nhưng họ vẫn bị phát hiện và bắt giữ.” Đồng thời, công tố viên cũng cho rằng, chính sách tài sản số nên được Quốc hội ban hành, chứ không nên để tòa án quyết định, điều này có thể tạo ra tiền lệ cho các vụ án liên quan đến tiền điện tử.

Vụ việc này đã gửi một tín hiệu mạnh mẽ đến các bên tham gia trong lĩnh vực DeFi (tài chính phi tập trung) và MEV: ngay cả trong lĩnh vực mà mã là luật, việc lợi dụng lỗ hổng công nghệ để thu lợi bất hợp pháp cũng sẽ bị trừng phạt bởi pháp luật truyền thống. Nó cũng thúc đẩy các cộng đồng blockchain như Ethereum chú trọng hơn đến tính an toàn của các giao thức và cơ sở hạ tầng của họ.

Bốn, Mở rộng suy nghĩ

Hành vi của cá nhân trong vụ án này thông qua các biện pháp kỹ thuật để chiếm đoạt trái phép tiền điện tử của người khác, phù hợp với các yếu tố cấu thành tội trộm cắp theo Bộ luật Hình sự của nước ta. Theo Điều 264 của Bộ luật Hình sự, việc lén lút chiếm đoạt tài sản công và tư với số lượng đặc biệt lớn sẽ bị phạt tù từ mười năm trở lên hoặc tù chung thân. Số tiền liên quan lên tới 25 triệu USD (tương đương khoảng 1,8 tỷ nhân dân tệ), vượt xa tiêu chuẩn “số lượng đặc biệt lớn”. Hành vi tống tiền của họ có thể cấu thành tội cưỡng đoạt tài sản. Cá nhân đã đe dọa báo cáo để yêu cầu tài sản, hoàn toàn phù hợp với quy định tại Điều 274 của Bộ luật Hình sự. Tội danh này sẽ bị xử lý song song với tội trộm cắp, thể hiện đánh giá toàn diện về hành vi tội phạm phức hợp. Tất nhiên, sau đó họ cố gắng che giấu tài sản phạm tội cũng có thể cấu thành tội rửa tiền.

Trong quá trình tư pháp của nước tôi, dựa trên các yếu tố như ý thức chủ quan của hành vi, số tiền thu lợi bất hợp pháp, và tính bất hợp pháp của các phương tiện kỹ thuật, theo các hướng dẫn liên quan của Tòa án Nhân dân Tối cao, tiền điện tử có thể được coi là đối tượng tài sản được bảo vệ bởi luật hình sự. Cụ thể, trong khía cạnh thực thi quy trình tư pháp hình sự, vụ án này nổi bật ba vấn đề cốt lõi. Thứ nhất là phân loại tội phạm, việc lợi dụng lỗ hổng blockchain để chuyển nhượng tài sản trái phép, bản chất vẫn là tội phạm xâm phạm quyền sở hữu tài sản. Thứ hai là nhận định chứng cứ, dữ liệu blockchain như là tiêu chuẩn để cố định, trích xuất và nhận định chứng cứ điện tử. Thứ ba là hợp tác xuyên biên giới: nếu liên quan đến chủ thể hoặc dòng tiền từ Trung Quốc, cần khởi động hỗ trợ tư pháp hình sự quốc tế.

Vụ án này cũng từ một góc độ khác đã gợi ý cho chúng ta rằng, quốc gia cần tăng cường việc nghiên cứu và phân tích các loại tội phạm mới trong lĩnh vực blockchain, hoàn thiện các giải thích pháp lý liên quan, đảm bảo trong khi giữ nguyên nguyên tắc trung lập về công nghệ, đồng thời có hiệu quả trong việc chống lại các hành vi phạm tội lợi dụng công nghệ mới.

Tóm lại, vụ án MEV robot trị giá 25 triệu USD này về bản chất là một vụ trộm cắp tài chính công nghệ cao và tống tiền bằng cách lợi dụng lỗ hổng của giao thức blockchain. Hành vi của bị cáo đã vượt xa phạm vi cạnh tranh MEV hợp pháp, cấu thành tội lừa đảo và rửa tiền rõ ràng. Kết quả xét xử của vụ án này sẽ tạo ra một tiền lệ pháp lý quan trọng cho việc xử lý các sự kiện tương tự trong tương lai.