Een voormalig senior security engineer van Amazon is in de Verenigde Staten wegens het stelen van ruim twaalf miljoen dollar aan crypto veroordeeld tot een gevangenisstraf van drie jaar. Daarnaast moet hij een bedrag van 12,3 miljoen dollar afstaan, alsmede een grote hoeveelheid cryptovaluta en zijn twee slachtoffers een vergoeding van meer dan vijf miljoen dollar betalen.

Het eerste slachtoffer was DeFi (decentralized finance)-platform Crema Finance, waarbij de man misbruikmaakte van een kwetsbaarheid in een "smart contract". De man was als security engineer werkzaam voor Amazon en hield zich onder andere bezig met het reverse engineeren van smart contracts en blockchain audits. Via het DeFi-platform konden gebruikers hun cryptovaluta in een liquiditeitspool storten en via een smart contract aangeven wanneer de crypto mocht worden verkocht.

Het hiervoor gebruikte smart contract bevatte verschillende inputs, waaronder een "tick account" dat van het DeFi-platform zelf is en informatie bevat over de hoeveelheid cryptovaluta die voor een bepaald bedrag werd aangeboden. Een andere input is het "position account" dat het aandeel van de gebruiker in de liquiditeitspool bijhoudt en wordt gebruikt voor het berekenen van de kosten. In tegenstelling tot de tick accounts kon elke gebruiker een position account bij Crema Finance aanmaken.

Beide accounts bevatten verschillende soorten data, maar de opmaak is hetzelfde. Daarnaast was op de blockchain vermeld dat zowel de tick als position accounts eigendom van het DeFi-platform waren, ook al konden gebruikers zelf position accounts aanmaken. De security engineer maakte hier volgens de aanklacht misbruik van door position accounts als tick accounts voor te doen. Eén van de valse tick accounts bevatte valse prijsinformatie waarmee de engineer miljoenen dollars aan kosten genereerde, die hij vervolgens met een tweede, valse tick account opnam.

Na de diefstal nam de man contact op met Crema Finance en beloofde het gestolen geld terug te geven, als hij 1,5 miljoen dollar als bugbounty mocht houden en er geen aangifte bij de politie werd gedaan. Een aantal weken na deze aanval sloeg de engineer toe bij cryptobeurs Nirvana Finance. Ook daar maakte hij misbruik van een kwetsbaarheid in een smart contract, waardoor hij tegen een lagere prijs cryptovaluta bij Nirvana Finance kon aanschaffen dan het contract eigenlijk toestond.

Vervolgens verkocht hij de gekochte crypto meteen tegen een hoger bedrag. Nirvana bood de engineer een beloning van 600.000 dollar, maar die eiste een bedrag van 1,4 miljoen dollar. Beide partijen kwamen er niet uit, waarop de engineer de gestolen crypto van in totaal 3,6 miljoen dollar hield. Dit was nagenoeg al het geld waarover Nirvana beschikte en de beurs sloot dan ook korte tijd na de aanval. Het gestolen geld werd vervolgens door de engineer witgewassen.