Un exingeniero de Amazon se declara culpable de robar 12,3 millones de dólares en criptomonedas en el primer caso de piratería que involucra contratos inteligentes

Un exingeniero de Amazon se ha declarado culpable de piratear 2 intercambios de criptomonedas en un caso histórico, que resultó en la primera condena por piratería de un contrato inteligente (smart contract).

Shakeeb Ahmed, quien anteriormente trabajó como ingeniero de seguridad para Amazon, se enfrenta hasta a 5 años de prisión y tendrá que hacer frente a una multa de 12,3 millones de dólares en criptomonedas robadas, según un comunicado del Fiscal Federal para el Distrito Sur de Nueva York.

Los ataques, que tuvieron lugar en 2022, estaban dirigidos a Nirvana Finance y a un segundo intercambio de cifrado anónimo en la cadena de bloques Solana.

Blockchain es esencialmente un libro de contabilidad digital que permite a los usuarios almacenar datos, incluidas transacciones financieras, en un entorno descentralizado. Un beneficio de blockchain es la seguridad, porque los datos almacenados no se pueden editar.

Ahmed aprovechó una vulnerabilidad en los contratos inteligentes del intercambio, según el fiscal estadounidense, lo que le permitió presentar datos falsificados que dieron como resultado que los contratos generaran millones de dólares en tarifas infladas que no había ganado.

¿Qué son los contratos inteligentes?

Los contratos inteligentes son programas blockchain que, como una máquina expendedora, ejecutan funciones específicas cuando se cumplen condiciones predeterminadas. Por ejemplo, un propietario que alquila un apartamento podría utilizar un contrato inteligente en el que el inquilino debe transferir un depósito de seguridad para recibir el código de la puerta del apartamento.

Ahmed pudo aplicar ingeniería inversa para que los intercambios pagaran sumas masivas, utilizando habilidades especializadas que desarrolló trabajando para Amazon, apuntó el fiscal.

Luego, Ahmed intentó cubrir sus huellas negociando con el intercambio de cifrado anónimo. Dijo que aceptaría devolver todos los fondos robados, menos 1,5 millones de dólares, si el intercambio aceptaba no contactar a las autoridades sobre el hackeo, informaron los fiscales.

Contrato inteligente de Nirvana

Después de piratear el primer intercambio, Ahmed apuntó a la criptomoneda de Nirvana, ANA, explotando una función de la criptomoneda destinada a inflar el precio de cada token después de comprar una gran suma. 

Utilizando una solución alternativa en el contrato inteligente de Nirvana, Ahmed podría comprar tokens ANA por valor de 10 millones de dólares a un precio reducido artificialmente y venderlos por 3,6 millones de dólares de ganancia.

Mejores criptomonedas para invertir a corto plazo en 2024

"Nirvana ofreció a Ahmed una 'recompensa por errores' de hasta 600.000 dólares para devolver los fondos robados, pero éste exigió 1,4 millones de dólares, no llegó a un acuerdo con Nirvana y se quedó con todos los fondos robados", según la declaración del fiscal estadounidense. 

"Los 3,6 millones de dólares que Ahmed robó representaron aproximadamente todos los fondos que poseía Nirvana, que como resultado cerró poco después del ataque".

Las mejores criptomonedas para 2024 de baja capitalización

Ahmed robó más de 12 millones de dólares y "trató de cubrir sus huellas intercambiando criptomonedas robadas por Monero, usando mezcladores de criptomonedas, saltando a través de cadenas de bloques y utilizando intercambios de criptomonedas en el extranjero", comentó el fiscal federal Damian Williams en un comunicado.

Los representantes del Fiscal Federal para el Distrito Sur de Nueva York no respondieron de inmediato a una solicitud de comentarios de Business Insider.

Las vulnerabilidades de los 'smart contracts'

En teoría, el beneficio de un contrato inteligente es eliminar el riesgo de fraude por parte de un intermediario o, por ejemplo, un bróker. Sin embargo, el programa ha sido vulnerable a ataques de piratas informáticos.

En 2022 se robaron alrededor de 2.200 millones de dólares en criptomonedas de proyectos de finanzas descentralizadas (DeFi), lo que permitió a las personas realizar transacciones financieras sin necesidad de terceros o instituciones financieras como los bancos.

El New York Times informó que muchos de los robos se llevaron a cabo aprovechando las vulnerabilidades de los contratos inteligentes. Dado que los contratos inteligentes se basan en código fuente abierto, los piratas informáticos pueden conocer el funcionamiento interno del software y aprovechar cualquier vulnerabilidad.