Security engineer veroordeeld voor stelen van 12 miljoen dollar aan crypto
Een voormalig senior security engineer van Amazon is in de Verenigde Staten wegens het stelen van ruim twaalf miljoen dollar aan crypto veroordeeld tot een gevangenisstraf van drie jaar. Daarnaast moet hij een bedrag van 12,3 miljoen dollar afstaan, alsmede een grote hoeveelheid cryptovaluta en zijn twee slachtoffers een vergoeding van meer dan vijf miljoen dollar betalen.
Het eerste slachtoffer was DeFi (decentralized finance)-platform Crema Finance, waarbij de man misbruikmaakte van een kwetsbaarheid in een "smart contract". De man was als security engineer werkzaam voor Amazon en hield zich onder andere bezig met het reverse engineeren van smart contracts en blockchain audits. Via het DeFi-platform konden gebruikers hun cryptovaluta in een liquiditeitspool storten en via een smart contract aangeven wanneer de crypto mocht worden verkocht.
Het hiervoor gebruikte smart contract bevatte verschillende inputs, waaronder een "tick account" dat van het DeFi-platform zelf is en informatie bevat over de hoeveelheid cryptovaluta die voor een bepaald bedrag werd aangeboden. Een andere input is het "position account" dat het aandeel van de gebruiker in de liquiditeitspool bijhoudt en wordt gebruikt voor het berekenen van de kosten. In tegenstelling tot de tick accounts kon elke gebruiker een position account bij Crema Finance aanmaken.
Beide accounts bevatten verschillende soorten data, maar de opmaak is hetzelfde. Daarnaast was op de blockchain vermeld dat zowel de tick als position accounts eigendom van het DeFi-platform waren, ook al konden gebruikers zelf position accounts aanmaken. De security engineer maakte hier volgens de aanklacht misbruik van door position accounts als tick accounts voor te doen. Eén van de valse tick accounts bevatte valse prijsinformatie waarmee de engineer miljoenen dollars aan kosten genereerde, die hij vervolgens met een tweede, valse tick account opnam.
Na de diefstal nam de man contact op met Crema Finance en beloofde het gestolen geld terug te geven, als hij 1,5 miljoen dollar als bugbounty mocht houden en er geen aangifte bij de politie werd gedaan. Een aantal weken na deze aanval sloeg de engineer toe bij cryptobeurs Nirvana Finance. Ook daar maakte hij misbruik van een kwetsbaarheid in een smart contract, waardoor hij tegen een lagere prijs cryptovaluta bij Nirvana Finance kon aanschaffen dan het contract eigenlijk toestond.
Vervolgens verkocht hij de gekochte crypto meteen tegen een hoger bedrag. Nirvana bood de engineer een beloning van 600.000 dollar, maar die eiste een bedrag van 1,4 miljoen dollar. Beide partijen kwamen er niet uit, waarop de engineer de gestolen crypto van in totaal 3,6 miljoen dollar hield. Dit was nagenoeg al het geld waarover Nirvana beschikte en de beurs sloot dan ook korte tijd na de aanval. Het gestolen geld werd vervolgens door de engineer witgewassen.
bizar...
Nou nee, hij is de 'opbrengst' kwijt (12,3 miljoen) en moet ook een boete van 5 mln betalen.
Met de genoemde gegevens staat hij dan echt in de min .
De gevangenisstraf is vrij laag - ik gok vanwege die boete , dat ie gematst is in jaren .
dit noem men ook een Trojaanse paard...
In IT security is een Trojaans paard meer jargon voor software.
En de term heeft een connotatie van 'bewust binnen geplaatst' .
Dit noem je doodgewoon 'insider fraude' .
Of gewoon 'fraude' .
Dat hij 'onder werktijd' enorm veel relevante kennis kon opdoen maakte het hem makkelijk, maar ik zie niet direct benoemd dat zijn positie bij amazon noodzakelijk was om de fraude te kunnen plegen.
Kortom - was hij 'insider' in de zin van iemand met meer toegangsrechten en mogelijkheden, of was hij slechts insider in de zin van 'heel erg bekend met de materie' .
eigen medewerkers
bizar...
Iets waar iedere organisatie zich van bewust moet zijn - ook 'eigen mensen' of 'mensen uit het vak' kunnen fout gaan.
pyromanende brandweermannen, frauderende bankmedewerkers (ja hoor , ook in de analoge tijd), criminele agenten , en dus ook criminele security engineers.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.