Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
Décembre 19, 2023

Un ingénieur admet avoir exploité Nirvana et une autre plateforme DeFi , ce qui constitue la première condamnation jamais prononcée pour le piratage d'un Smart Contract

Perspectives TRMPerspectives
Un ingénieur admet avoir exploité Nirvana et une autre plateforme DeFi , ce qui constitue la première condamnation jamais prononcée pour le piratage d'un Smart Contract

Le 14 décembre 2023, le procureur des États-Unis pour le district sud de New York a annoncé le plaidoyer de culpabilité de Shakeeb Ahmed dans le cadre de son piratage de deux bourses de crypto-monnaies décentralisées distinctes en juillet 2022 - l'une ci-après dénommée "Crypto Exchange" et l'autre, Nirvana Finance.

Ahmed a plaidé coupable de fraude informatique et a accepté de confisquer plus de 12,3 millions de dollars, y compris la confiscation d'environ 5,6 millions de dollars en crypto-monnaie obtenue frauduleusement.

TRM Labs est fier d'avoir soutenu les forces de l'ordre tout au long de l'enquête et la victime lors de la réponse à l'incident.

Alors qu'en juillet 2023, Ahmed a été publiquement accusé du piratage de la Crypto Exchange, le plaidoyer de culpabilité de la semaine dernière a été la première fois qu'Ahmed a été publiquement lié au piratage de Nirvana. Il s'agit de la première affaire criminelle impliquant une attaque contre un smart contract exploité par une bourse décentralisée. 

Selon l'acte d'accusation, en juillet 2022, Ahmed, ingénieur en sécurité de formation, a mené une attaque contre le Crypto Exchange en exploitant une vulnérabilité dans l'un des contrats intelligents du Crypto Exchange. TRM analyse l'exploit ci-dessous.  

L'exploit était similaire dans le cas de Nirvana qui achetait et vendait son jeton de crypto-monnaie, ANA. Nirvana était conçu de telle sorte que lorsqu'un utilisateur achetait une quantité substantielle d'ANA, le prix de l'ANA augmentait, et lorsqu'un utilisateur vendait une quantité substantielle d'ANA, le prix de l'ANA diminuait.

Le 28 juillet 2022, quelques semaines après le piratage du Crypto Exchange, Ahmed a mené l'attaque contre Nirvana dans laquelle il a contracté un prêt flash d'environ 10 millions de dollars, utilisé ces fonds pour acheter de l'ANA à Nirvana, et utilisé un exploit qu'il a découvert dans les contrats intelligents de Nirvana pour acheter l'ANA à son prix initial, bas, plutôt qu'au prix plus élevé que Nirvana était censé lui facturer compte tenu de l'importance de son achat. Lorsque le prix de l'ANA a été mis à jour pour refléter son achat important, Ahmed a revendu l'ANA qu'il avait acheté à Nirvana au nouveau prix plus élevé, ce qui lui a permis de réaliser un bénéfice d'environ 3,6 millions de dollars.  

Nirvana a offert à Ahmed une prime de 600 000 dollars pour restituer les fonds volés, mais Ahmed a demandé 1,4 million de dollars, n'est pas parvenu à un accord avec Nirvana et a gardé tous les fonds volés. Les 3,6 millions de dollars volés par Ahmed représentaient à peu près la totalité des fonds détenus par Nirvana, qui a donc fermé ses portes peu de temps après l'attaque d'Ahmed.

Comme nous le verrons plus en détail ci-dessous, Ahmed a blanchi les millions qu'il a volés à la Crypto Exchange et à Nirvana en utilisant diverses techniques d'obscurcissement de la chaîne, notamment l'utilisation de mélangeurs, de swaps inter-chaînes et de la monnaie privée Monero.

Ci-dessous, nous discuterons de l'exploit sur le Crypto Exchange, de la réponse à l'incident et de l'enquête utilisant l'blockchain intelligence de TRM.

L'Exploit‍

Selon l'acte d'accusation, au moment de l'attaque, l'accusé "était un ingénieur principal en sécurité pour une société internationale de technologie dont le CV reflétait des compétences dans, entre autres, l'ingénierie inverse des contrats intelligents et des audits de la blockchain, qui sont certaines des compétences spécialisées qu'Ahmed a utilisées pour exécuter l'attaque." Le Crypto Exchange, également selon les documents judiciaires, est un "teneur de marché automatisé" qui s'appuie sur des contrats intelligents pour que ses clients échangent des actifs sur la blockchain Solana. Plus précisément, le Crypto Exchange a créé un marché pour les échanges en regroupant les liquidités de ses clients (par exemple, le client dépose 100 USD sur l'échange au prix du marché, l'échange paie au client des frais pour la mise à disposition des liquidités).

Le 2 juillet 2022, le Crypto Exchange a informé le public qu'il subissait une attaque et qu'il prendrait rapidement des mesures correctives pour protéger les fonds des clients. Au cours de l'attaque, Ahmed a exploité le smart contract associé à l'échange en fournissant de fausses données pour faire croire qu'il avait fourni un grand volume de liquidités à l'échange, ce qu'il n'avait pas fait en réalité. En conséquence, le défendeur a frauduleusement reçu des frais substantiels de la part de la bourse. 

En outre, après avoir compris comment exploiter le smart contract de la bourse, Ahmed a utilisé les fonds provenant des "prêts éclair" pour effectuer une série de dépôts sur la bourse, générant ainsi des frais frauduleux supplémentaires. Il a ensuite créé un autre compte frauduleux sur la bourse et a encore manipulé le smart contract afin de pouvoir retirer rapidement les fonds principaux de la bourse.

Selon les documents judiciaires, Ahmed a obtenu frauduleusement, au total, plus de 9 millions de dollars de crypto-monnaie de la Bourse en manipulant le smart contract En utilisant TRM Labs Graph Visualizervous pouvez voir l'exploit provenant de l'adresse de l'exploiteur, traversant les blockchains de Solana à Ethereum, et se déplaçant vers les adresses ETH suivantes.

Après l'exploit, le défendeur avait besoin d'obscurcir le flux des fonds obtenus frauduleusement, il a donc commencé à utiliser des techniques de blanchiment d'argent sophistiquées pour cacher la destination des fonds. Le défendeur semble avoir échangé des fonds entre blockchains à plusieurs reprises, utilisé des "mélangeurs" de crypto-monnaies et déplacé des fonds dans des crypto-monnaies à confidentialité renforcée afin de dissimuler le flux de fonds.‍

‍Laréponse‍

Après le piratage, la Bourse a collaboré avec l'équipe de réponse aux incidents de TRM et les enquêteurs du HSI et de l'IRS pour suivre et tracer les flux de fonds avant et après l'exploit.

Au cours de l'enquête et de la réponse à l'incident, le défendeur a restitué tous les fonds, à l'exception de 1,5 million USD de crypto-monnaie, qu'il prétendait recevoir pour avoir mis en évidence la vulnérabilité du protocole de smart contract

Selon l'acte d'accusation, les enquêteurs ont utilisé ces données sur la chaîne avec une enquête hors chaîne pour finalement identifier et arrêter le défendeur. Cette enquête hors chaîne a révélé qu'après l'attentat, l'accusé a recherché en ligne des informations sur l'attentat, sur sa propre responsabilité pénale, sur les avocats de la défense spécialisés dans les affaires similaires, sur la capacité des forces de l'ordre à enquêter avec succès sur l'attentat et sur la fuite des États-Unis pour éviter les poursuites pénales.  

Par exemple, selon l'acte d'accusation, deux jours après l'attaque, l'accusé a effectué une recherche sur Internet pour le terme "defi hack", a lu plusieurs articles de presse sur le piratage du Crypto Exchange, et a effectué des recherches sur Internet ou a visité des sites Web liés à sa capacité à fuir les États-Unis, à éviter l'extradition et à conserver sa crypto-monnaie volée : il a effectué des recherches sur les termes "puis-je traverser la frontière avec la crypto", "comment empêcher le gouvernement fédéral de saisir les actifs" et "acheter la citoyenneté" ; et il a visité un site Web intitulé "16 pays où vos investissements peuvent acheter la citoyenneté...". . ."

Cette affaire illustre les efforts sophistiqués et coordonnés des organismes américains d'application de la loi tels que le HSI et l'IRS, en utilisant l'blockchain intelligence, pour perturber et punir la fraude dans l'écosystème des crypto-monnaies. Elle souligne également l'importance de pouvoir tracer et suivre les flux de fonds à travers les blockchains pour arrêter les acteurs illicites qui cherchent à obscurcir les transactions.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
Décembre 12, 2023

Les transports de marchandises en sac à dos diminuent de moitié à partir de 2022

flèche vers la droite
Décembre 16, 2022

DeFiLes attaques de ponts inter-chaînes entraînent une augmentation record du nombre de piratages et d'exploits dans le domaine des crypto-monnaies

flèche vers la droite
31 octobre 2022

TRM Talks | Incident Response: Suivre les piratages de crypto-monnaies

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT