【全球首例】濫用智能合約騙取逾1,200萬美元 迂迴洗錢難逃法網
去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed,曾於成功透過操控智能合約的漏洞,從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁,同時沒收所有詐騙得來的金錢,成為首宗因濫用智能合約被定罪的個案。
隨著區塊鏈科技興起,去中心化金融(DeFi)成為一種新興的金融技術,這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管,而且交易的透明度高,交易速度亦較傳統銀行快,所以發展潛力極大。
由於相關的交易不受監管,借貸亦不需要有資產抵押或當事人背景審查,所以容易發生騙案,而智能合約(smart contract)便是用於減低詐騙風險的手段之一,以貸款為例,一旦借款人無法履行合約內容,例如支付利息或還款,智能合約可自動取消之前的交易,某程度上可保障貸款人的安全。
不過,由於智能合約都是新興技術,所以並非所有人都能完全熟悉其操作,並察覺到是否有漏洞存在,因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊,當中閃電貸(flash loan)攻擊就是熱門手段,Shakeeb 犯下的其中一宗個案,便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。
該智能合約的設計原理是,當平台發現 ANA 的購買量增加時,價格便會提升,但 Shakeeb 發現當中漏洞,可以初始價格借出大量 ANA 幣,並在更新價格以高價將 ANA 幣賣回平台,閃電賺取約 360 萬美元的 ANA 加密貨幣差價,同時亦是 Nirvana Finance 的所有資產。
成功騙取款項後,Shakeeb 向平台提議轉為白帽黑客,即只要平台答應將 360 萬美元當中的 140 萬美元作為賞金獵人的獎金,以及承諾答應不會報警,便會將餘款交還平台。不過由於 Nirvana Finance 拒絕建議,因此平台亦宣告倒閉。涉案的另一個匿名平台亦被 Shakeeb 以相同手法勸誘交易,據知起初平台答應提議,從被盜的 900 萬美元中撥出 150 萬美元作為「賞金」,但在歸還款項後,平台疑仍向美國執法部門作出舉報,最終才成功將 Shakeeb 緝捕歸案。
Shakeeb 被捕後,執法部門指出他曾利用多個加密貨幣交易平台洗金,又曾將加密貨幣兌換成其他較難追蹤身份的貨幣如門羅幣,大大增加搜證難度。但當局指,這次個案可顯示無論過程如何迂迴,被捕歸案將是這些騙徒的最終結局,警告潛在犯罪份子切勿以身試法。
而經過多次智能合約攻擊事件,現時這類平台已引入更多機制防止騙案發生,例如使用 Blockchain oracle 預言機更快地找出加密貨幣的真實價格,或加了時間加權平均定價去計自出貨幣的平均值,雖然某程度上會影響交易的速度,但就可減少黑客利用時間差進行攻擊。