Caso de Bots MEV: Delito utilizando las reglas del pool de activos de Ethereum

El núcleo de este caso no es simplemente operar Bots de MEV para obtener ganancias, sino que dos hombres estadounidenses aprovecharon la vulnerabilidad de los Bots de MEV para llevar a cabo un “Hacker” ataque y realizar extorsiones, con un monto involucrado de aproximadamente 25 millones de dólares.

Uno. Situación básica

Los involucrados son Anton Peraire-Bueno (24 años en ese momento) y James Peraire-Bueno (28 años en ese momento), quienes son hermanos y se graduaron del Instituto Tecnológico de Massachusetts. El Departamento de Justicia de EE. UU. los ha acusado de conspirar para cometer fraude telefónico, fraude telefónico y conspiración para lavar dinero.

Su principal actividad delictiva fue planear y ejecutar un ataque complejo aprovechando la naturaleza pública del sistema de “validadores” de la blockchain de Ethereum y del MEV (valor máximo extraíble), “robando” criptomonedas de las transacciones en espera de ser procesadas y luego extorsionando a las víctimas con ello, monto involucrado de aproximadamente 25 millones de dólares en criptomonedas. Los involucrados en el caso fueron arrestados y acusados en mayo de 2024, y el caso está actualmente en trámite, enfrentándose a una posible pena de más de 20 años de prisión.

Dos, detalles clave

Para entender este caso, es necesario comprender varios conceptos clave:

MEV (Valor Máximo Extraíble): El máximo beneficio que se puede obtener en la blockchain ajustando, incluyendo o excluyendo el orden de las transacciones. Las actividades comunes de MEV incluyen arbitraje y liquidación. Los operadores de Bots de MEV legítimos pujan por posiciones de transacción favorables pagando altas tarifas de Gas.

Memoria de transacciones (Mempool): Un conjunto público de transacciones que esperan ser empaquetadas en bloques por los validadores.

Validador (Validator): Participante de la red responsable de empaquetar transacciones y crear nuevos bloques.

Su método de operación se puede simplificar en los siguientes pasos:

Primer paso: espiar y localizar. Al igual que otros Bots de MEV, ellos monitorean continuamente el Mempool de Ethereum en busca de oportunidades de arbitraje rentables. Descubrieron algunos paquetes de arbitraje compuestos por tres transacciones que pueden generar altos beneficios.

Segundo paso: planear la “trampa”. No competían por estas transacciones como lo haría una persona normal al aumentar las tarifas de Gas, sino que diseñaron un complejo esquema de ataque. Aprovecharon una vulnerabilidad en el código de Ethereum, apuntando específicamente al funcionamiento de MEV-Boost (un software que ayuda a los validadores a obtener MEV).

Paso 3: Implementar el ataque - “Secuestrar” transacciones. Ellos establecieron sus propios nodos de validadores y, aprovechando su conocimiento técnico, lograron “secuestrar” estas transacciones pendientes en un corto período de tiempo (alrededor de 12 segundos).

En concreto, evitaron que estas transacciones se empaquetaran correctamente en un bloque a través de una serie de operaciones complejas, al mismo tiempo que hacían que los Bots que originalmente habían enviado estas transacciones creyeran que la transacción había fallado.

Paso cuatro: Robo y reestructuración. Cuando el robot MEV original se retira, rápidamente reorganizan estas transacciones “secuestradas” y dirigen las ganancias de arbitraje hacia una dirección de wallet bajo su control. Todo el proceso en la blockchain parece una serie de reestructuraciones de transacciones normales, pero en realidad es un robo que aprovecha las vulnerabilidades.

Paso cinco: Intento de blanqueo de dinero y extorsión. Una vez que tuvieron éxito, no se detuvieron. Lavaron el dinero a través de una serie de complejas operaciones en cadena (como el uso de mezcladores, puentes entre cadenas, y transfiriendo fondos a intercambios de criptomonedas en el extranjero) en un intento de ocultar el origen de los fondos.

Lo que es más grave, se pusieron en contacto con la víctima y amenazaron con denunciar las actividades de criptomonedas de la víctima a las autoridades fiscales si no pagaba el rescate, y revelar su identidad. Esto constituye extorsión.

Tres, Impacto Importante

Este es el primer caso en que el Departamento de Justicia de EE. UU. presenta una acusación penal relacionada con ataques vinculados al MEV. Califica un comportamiento relativamente nuevo y altamente técnico en el ámbito de la blockchain como un delito penal. El caso distingue claramente entre el MEV “competitivo” y el ataque de hackers “fraudulento”. Simplemente ejecutar bots de MEV para participar en la competencia no es ilegal, pero aprovechar las vulnerabilidades para robar el valor de transacciones que otros ya han descubierto e implementar extorsión constituye un delito grave.

La vicefiscal general de Estados Unidos, Lisa Monaco, destacó en un comunicado: “Los acusados utilizaron un conocimiento técnico extremadamente profesional para manipular y defraudar la cadena de bloques de Ethereum, robando así criptomonedas. A pesar de que los acusados emplearon métodos complejos, aún fueron identificados y arrestados.” Al mismo tiempo, la fiscalía también propuso que la política de activos digitales debe ser establecida por el Congreso, en lugar de ser decidida por los tribunales, lo que podría sentar un precedente para los casos relacionados con criptomonedas.

Este caso envió una fuerte señal a los participantes en el ámbito de DeFi (finanzas descentralizadas) y MEV: incluso en un campo donde el código es la ley, aprovechar las vulnerabilidades técnicas para obtener beneficios ilegales también será sancionado por la ley tradicional. También ha llevado a comunidades de blockchain como Ethereum a prestar más atención a la seguridad de sus protocolos e infraestructuras.

Cuatro, pensamiento expandido

El comportamiento del autor en este caso, que consiste en obtener ilegalmente criptomonedas de otros mediante medios técnicos, cumple con los elementos constitutivos del delito de robo según el Código Penal de nuestro país. Según el artículo 264 del Código Penal, el robo secreto de bienes públicos y privados de una cantidad especialmente grande se castiga con pena de prisión de más de diez años o cadena perpetua. La cantidad involucrada en este caso asciende a 25 millones de dólares (aproximadamente 180 millones de yuanes), superando con creces el estándar de “cantidad especialmente grande”. Su comportamiento de extorsión podría constituir el delito de extorsión. El autor amenazó con informar a las autoridades para exigir bienes, lo cual se ajusta completamente a lo estipulado en el artículo 274 del Código Penal. Este delito se sanciona junto con el delito de robo, lo que refleja una evaluación integral de los comportamientos delictivos complejos. Por supuesto, su intento posterior de encubrir el producto del delito también podría constituir el delito de lavado de dinero.

En el proceso judicial de nuestro país, basándose en la revisión clave de elementos como la intención subjetiva del autor, el monto de las ganancias ilegales y la ilegalidad de los medios técnicos, según las directrices relevantes del Tribunal Supremo del Pueblo, las monedas virtuales pueden ser consideradas como objetos de propiedad protegidos por el derecho penal. Específicamente, en el nivel operativo del proceso de justicia penal, este caso resalta tres problemas fundamentales. Primero, calificación del delito, la utilización de fallos en blockchain para transferir activos ilegalmente, que en esencia sigue siendo un delito de violación de derechos de propiedad. Segundo, reconocimiento de pruebas, los datos de blockchain como estándares para la fijación, extracción y reconocimiento de pruebas electrónicas. Tercero, cooperación transfronteriza: si involucra a entidades chinas o flujos de fondos hacia China, se debe iniciar la asistencia judicial penal internacional.

Este caso también nos revela desde otra perspectiva que nuestro país necesita fortalecer el análisis sobre los nuevos delitos en el ámbito de la blockchain, perfeccionar las interpretaciones judiciales relacionadas y asegurar que, al mantener el principio de neutralidad técnica, se combatan de manera efectiva los delitos cometidos utilizando nuevas tecnologías.

En resumen, este caso de un robot MEV de 25 millones de dólares es, en esencia, un robo y extorsión financiera de alta tecnología que utiliza vulnerabilidades en los protocolos de blockchain. Las acciones del acusado van mucho más allá del ámbito de la competencia legítima de MEV, constituyendo un fraude y un delito de lavado de dinero claros. El resultado del juicio sentará un importante precedente legal para el manejo de eventos similares en el futuro.