На кражу 25 миллионов долларов криптомошенникам потребовалось всего 12 секунд

Почему кража на $25 млн за 12 секунд — не хак, а новая реальность крипторынка: разбор дела братьев из MIT

Два выпускника Массачусетского технологического украли 25 миллионов долларов. Не взломав сервер. Не используя вирусы. Они просто сыграли по правилам блокчейна — и обобрали роботов. Прокуратура США назвала это «первым делом в своём роде». А защита пожимает плечами: мол, нерегулируемая среда, каждый выживает как может.

Давайте без воды. Братья Антон и Джеймс Перейр-Буэно — не хакеры в чёрных капюшонах. Они инженеры, которые разобрались в том, как устроен Ethereum на уровне протокола. И нашли способ заставить чужих торговых ботов перевести им деньги. За 12 секунд.

Как это работает: анатомия атаки на мемпул

Ethereum — публичная база данных. Все транзакции, прежде чем попасть в блок, болтаются в мемпуле (пуле ожидания). Торговые боты отслеживают этот пул в поисках выгодных сделок. Они «передвигают» свои транзакции перед вашей — это называется фронтраннинг.

Братья пошли дальше. Они подсунули ботам приманку — транзакцию с заведомо высокой комиссией (газом). Боты бросились её съедать. А на деле это был «сэндвич»: сперва ордер на покупку, потом ваша транзакция, потом ордер на продажу. Разница осела в кошельках братьев. Такая манипуляция называется MEV (Maximal Extractable Value). Настоящие блокчейнеры давно знают эту уязвимость, но мало кто решался выкачивать миллионы в открытую.

Важный нюанс: технически братья не взломали код. Они просто знали, как алгоритмы реагируют на определённые сигналы. Это как если бы вы знали, что друг нажимает кнопку «купить» каждый раз, когда видит красную лампочку. Вы включаете красную лампочку — он покупает. Вы продаёте. Чисто математика.

Подготовка, которая бросает в дрожь

Федералы изъяли историю поиска братьев. Там были запросы: «как отмыть криптовалюту», «лучшие юристы по криптовалютам», «база мошеннических адресов Ethereum» и «закон об ограничении срока давности за отмывание денег». Они не просто крали — они планировали exit strategy. Это уже не студенческая шалость, а продуманное мошенничество с юридической разведкой.

Кстати, на отмывание ушло два года. Братья гоняли активы через миксеры, децентрализованные биржи и мосты между сетями. Но детективов из ФБР этим не проведёшь — они проследили цепочку до кошелька, с которого деньги ушли на счёт в американском банке. Детская ошибка? Скорее, уверенность в безнаказанности.

Юридический прецедент: почему это дело изменит всё

Защита утверждает: блокчейн не регулируется государством, значит, любая стратегия — допустима. Адвокат Патрик Луби заявил, что «поведение участников рынка определяется экономическими стимулами». Звучит солидно. Но только до тех пор, пока ты не трогаешь чужие деньги, используя манипуляцию.

Моё мнение: этот суд — водораздел. Если суд признает братьев виновными, правительство США получит мандат регулировать даже смарт-контракты. Если нет — децентрализованные финансы (DeFi) превратятся в Дикий Запад, где каждый умник сможет запустить MEV-атаку без риска сесть в тюрьму. Капитализация крипторынка — 3,5 триллиона долларов. Слишком много, чтобы оставить анархию.

Недавно я заметил любопытную деталь: в сообществах разработчиков Ethereum эту атаку обсуждают с оттенком зависти. Мол, «братья — гении, просто попались». Но гении ли? Они не создали ничего нового. Они воспользовались известной уязвимостью торговых ботов — отсутствием проверки подлинности стратегии. Настоящий инженер должен спросить: а стоит ли система защиты, если её можно обойти, просто зная алгоритм? Ответ — нет.

Резюме от автора

Дело братьев Перейр-Буэно — не про кражу. Оно про то, что технология без правил неизбежно порождает хищников. Мы стоим на пороге, когда судьи начнут разбираться в мемпулах и MEV-атаках так же, как раньше разбирались в кредитных договорах. И это правильно. Потому что иначе крипторынок останется казино, где выигрывают не умные, а быстрые. А 12 секунд — это слишком быстро для обычного человека.