مقامات آمریکایی یک شهروند کانادایی را به دلیل هک‌های ۶۵ میلیون دلاری KyberSwap و Indexed Finance متهم کردند.

مقامات فدرال ایالات متحده یک شهروند کانادایی را به سوءاستفاده از آسیب‌پذیری‌ها در دو پروتکل مالی غیرمتمرکز متهم کرده‌اند و ادعا می‌کنند که او میلیون‌ها دلار ارز دیجیتال را دزدیده و تلاش کرده تا ردپای خود را پاک کند.

اندیَن مجدی‌دوویچ، فارغ‌التحصیل ریاضیات از دانشگاه واترلو، به خاطر کلاهبرداری اینترنتی، هک کامپیوتر، تلاش برای اخاذی و پولشویی در ارتباط با سوءاستفاده‌های KyberSwap و Indexed Finance متهم شده است، که وزارت دادگستری در ۳ فوریه اعلام کرد.

طبق اتهامات، مجدی‌دوویچ قراردادهای هوشمند را در هر دو پلتفرم دستکاری کرده و از معاملات گمراه‌کننده استفاده کرده تا سیستم‌های خودکار را به اشتباه در محاسبه مقادیر کلیدی بیندازد. با سوءاستفاده از این نقص‌ها، او به‌طور ادعایی ۴۸.۸ میلیون دلار از KyberSwap در سال ۲۰۲۳ و ۱۶.۵ میلیون دلار از Indexed Finance در سال ۲۰۲۱ را برداشت کرده است.

از طریق معاملات گمراه‌کننده‌اش، مجدی‌دوویچ موفق شد "میلیون‌ها دلار از سرمایه‌گذاری‌های سرمایه‌گذاران را با قیمت‌های مصنوعی برداشت کند"، طبق کیفرخواست. این امر باعث شد که قربانیان سرمایه‌گذاری‌هایشان به‌طور مؤثری بی‌ارزش شود.

مقامات قضائی اضافه کردند که مجدی‌دوویچ به طور دقیق سوءاستفاده‌های KyberSwap را طی چندین ماه برنامه‌ریزی کرده و دایرکتوری از فایل‌ها با عناوینی مانند "KYBER_KILL" و "templateexploit" نگه‌داری کرده است.

او یک "فهرست هدف POOL" ایجاد کرده تا استخرهای نقدینگی را شناسایی کرده و حمله را به‌طور استراتژیک زمان‌بندی کند، با نوشتن یادداشت‌هایی مانند "زمانی برای حمله پیدا کن! CEO در هوشی‌مین است." او حتی زمان بهینه برای حمله را محاسبه کرده تا با زمان خواب آمریکایی‌ها و اروپایی‌ها هم‌زمان شود.

بعد از حمله، مقامات قضائی می‌گویند که مجدی‌دوویچ سعی کرده از توسعه‌دهندگان، سرمایه‌گذاران و اعضای DAO KyberSwap اخاذی کند و کنترل پروتکل را در ازای بازگردانی ۵۰ درصد از وجوه سرقتی درخواست کرده است.

همزمان، او در تلاش برای پاک کردن ردپای خود بود. مجدی‌دوویچ و یک همکارش به‌طور ادعایی ارز دیجیتال دزدیده‌شده را از طریق میکس‌کننده‌های ارز و پل‌های بلاکچینی پولشویی کرده و وجوه را در چندین شبکه جابه‌جا کردند تا منبع آن obscured شود. او همچنین حساب‌هایی در صرافی‌های ارز دیجیتال با هویتی جعلی باز کرد و سعی کرد نگهداری‌های خود را بدون به وجود آوردن نشانه‌های خطر مایع کند.

علاوه بر این، هنگامی که یک پروتکل پل، تراکنش‌های او را متوقف کرد، مجدی‌دوویچ به‌طور ادعایی به یک مأمور پلیس مخفی ۸۵ هزار دلار پرداخت کرد و تصور می‌کرد که او توسعه‌دهنده‌ای است که می‌تواند محدودیت‌ها را دور بزند و ۵۰۰ هزار دلار ارز دیجیتال مسدودشده‌اش را آزاد کند.

اگر متهم شود، مجدی‌دوویچ با مجازات‌های سنگینی روبرو است، از جمله حداکثر ۲۰ سال زندان برای هر اتهام کلاهبرداری اینترنتی، تلاش برای اخاذی و پولشویی، و همچنین ۱۰ سال برای خسارت غیرمجاز به یک کامپیوتر محافظت‌شده.

سازمان‌های اجرای قانون، از جمله واحد جنایات سایبری پلیس ملی هلند و مقامات امریکایی، به تعقیب مجدی‌دوویچ ادامه می‌دهند که هنوز آزاد است.

در تاریخ ۲۰ دسامبر ۲۰۲۳، KyberSwap یک برنامه خزانه‌داری برای جبران خسارت به کاربران آسیب‌دیده از هک اعلام کرد.

در یک پست اخیر در X، این پروتکل گفت که کمک مالی به طور کامل به ۱,۳۷۱ دریافت‌کننده توزیع شده است. (به پایین مراجعه کنید.)