Coinbase a gagné 1 million de dollars suite à un piratage, mais n'a T remboursé les victimes

• L'exploit Curve de 73 millions de dollars en juillet a brièvement fait exploser les prix sur la plateforme DeFi, et un robot de trading a payé 570 ETH pour s'assurer de pouvoir profiter de cette opportunité d'arbitrage unique.
• Le validateur Ethereum qui a reçu ce paiement était apparemment dirigé par Coinbase, ce qui en fait un bénéficiaire involontaire de l'incident.
• La victime de l'exploit Alchemix a contacté Coinbase pour demander un remboursement pour les victimes, mais l'échange de Crypto n'a manifestement pas remis l'argent.

Un exploiteurAttaque de juillet Le géant de la Finance décentralisée Curve Finance a secoué l'ensemble du marché de la DeFi. Une grande partie de l'argent volé a été restituée, mais tout le monde n'a pas été indemnisé.

Cependant, un géant des Crypto– Coinbase, la plus grande plateforme d'échange américaine – dispose d'un bénéfice d'environ un million de dollars lié à l'incident, selon les acteurs du marché et les observateurs. La plateforme n'a T restitué cette manne involontaire aux victimes. Et, soyons clairs, elle n'y est actuellement pas tenue.

Cette situation étrange découle d’une caractéristique particulière de l’infrastructure de l’économie DeFi.

Lorsque 73 millions de dollars d'actifs ont été volés à Curve, le système de tarification des actifs de la plateforme a été momentanément perturbé. Un robot de trading a repéré cette opportunité d'arbitrage unique et s'est empressé de la saisir.payant 570 ETH (d'une valeur de 1,06 million de dollars à l'époque) ont été versés pour garantir qu'un validateur de la blockchain Ethereum traite sa transaction le plus rapidement possible. Il s'agissait du deuxième paiement le plus important jamais effectué dans le cadre de la pratique connue sous le nom de MEV.

ValidateursIls gèrent le réseau Ethereum , et ils sont nombreux. Dans ce cas précis, Coinbase était le validateur ayant reçu le paiement, selon Alchemix, qui a perdu de l'argent lors de l'exploitation de Curve. donnéesde Nansen qui montre que Coinbase était le destinataire de l'argent.

Alors que la majeure partie des 73 millions de dollars d’actifs perdus lors du piratage de Curve a étérécupéré, le protocole Alchemix – qui a vu 22 millions de dollars de ses jetons basés sur Curve pillés par le pirate informatique – a déclaré que Coinbase avait refusé les demandes de renvoi de l'argent qu'il avait gagné à la suite du braquage.

« Coinbase n'a montré aucune volonté de restituer les fonds, bien qu'il ait sciemment bénéficié directement de l'exploit », a déclaré Alchemix à CoinDesk dans un communiqué.

Alchemix, qui soutient que Coinbase conserve l'argent volé, affirme que les représentants de Coinbase lui ont dit qu'il n'y avait aucune obligation légale pour elle de rembourser qui que ce soit.

Un porte-parole de Coinbase a déclaré que la société n'avait « rien de plus à partager pour le moment » et a refusé une Request de commentaire.

La controverse souligne la tension entre la liberté de mouvement,« le code est la loi » les idéaux de la Finance basée sur la blockchain et le manque frustrant de recours pour les victimes de vol de Crypto .

Selon le rapport, environ 735 millions de dollars d'actifs numériques ont été volés lors de piratages cette année.DéfiLlama;L’omniprésence des exploits Crypto – et la difficulté de récupérer des fonds après qu’ils se produisent – ​​est fréquemment citée comme un élément dissuasif majeur pour les utilisateurs potentiels de cette Technologies.

L'affaire Coinbase-Curve offre un aperçu unique du processus complexe de récupération d'actifs qui suit la plupart des piratages de Crypto . Le monde complexe des algorithmes de trading de Crypto et les opportunités d'arbitrage spontanées peuvent rendre difficile la traçabilité des fonds volés sur un protocole Crypto . Il arrive souvent que les plus gros bénéficiaires d'un vol de Crypto se retrouvent dans cette situation par accident, percevant des commissions surprises en échange de l'exploitation de certains types d'infrastructures blockchain.

C'est la situation dans laquelle se trouve Coinbase. La question de savoir si l'entreprise doit ou non rembourser les victimes de Curve avec les fonds qu'elle a gagnés à la suite du braquage - ou si ces fonds sont même de « l'argent sale » en premier lieu - est en grande partie une question d'interprétation.

Comment Coinbase a profité du piratage de Curve

Le 30 juilletattaque sur Curveexploité un bug dans le code pour certainspools de liquidité – des paniers de Cryptomonnaie prêtés par les utilisateurs de la plateforme pour faciliter les échanges de jetons « décentralisés ». Au total, 73 millions de dollars d'actifs ont été perdus, et l'événement a perturbé l'ensemble des Marchés des Cryptomonnaie en raison de la position de Curve comme pierre angulaire de l'écosystème DeFi d'Ethereum.

ONEune des piscines vidées lors de l'attaque contenait de l'éther (ETH) et alETH, un dérivé de l'Ether émis par Alchemix, une plateforme de prêt DeFi. Avant l'attaque, le pool contenait 7 259 ETH et 4 822 alETH, a indiqué Alchemix . Ensuite, l'exploiteur a drainé la majorité des jetons, ne laissant que 1 ETH et 3 856 alETH.

Les traders utilisent des pools de liquidité pour échanger des jetons, et le taux de change entre deux jetons d'un pool est défini par le ratio d'actifs de ce pool.

Suite à l'exploitation de Curve, le déséquilibre important entre les jetons ETH et alETH dans le pool ETH/alETH a créé une opportunité d'arbitrage, permettant aux traders avisés d'acheter des alETH à prix réduit. Un robot de trading a saisi l'opportunité et a racheté les alETH restants du pool pour une somme dérisoire, les revendant rapidement contre des frxETH (un autre dérivé de ETH ), qu'il a ensuite échangés contre des ETH, comme le montrent les données blockchain.

Le robot de trading n'a généré que 43 ETH grâce aux transactions. La majeure partie des bénéfices a été reversée au validateur – en l'occurrence Coinbase – qui a enregistré la transaction dans le registre Ethereum. Les frais, inhabituellement élevés, de 570 ETH, selon données blockchain, a servi d’incitation pour persuader le validateur de donner automatiquement la priorité à la transaction du bot avant celle des autres cherchant à effectuer la même transaction.

Cette pratique controversée consistant à ordonner stratégiquement les transactions blockchain pour profiter d'opportunités de trading spontanées est appeléevaleur extractible maximale(MEV). Les frais d'arbitrage d'alETH ont marqué le deuxième plus hautMEV paiement pour une seule transaction dans l'histoire de la blockchain Ethereum , selon un rapportde Flashbots, une entreprise leader dans le domaine des MEV.

Sur le même sujet : La débâcle de Curve déclenche une frénésie de transactions, propulsant les récompenses « MEV » Ethereum à un niveau record

Aucun remboursement

« C'est fou... J'ai essayé de négocier avec eux et de parler au téléphone, mais ils ne veulent T rendre les fonds même après avoir admis qu'ils ont été volés. »

Suite à uneprime publiqueet unultimatumL'exploiteur de Curve a restitué à Alchemix l'intégralité des 22 millions de dollars ETH et d'alETH volés. Les pirates informatiques – des acteurs de bonne foi qui ont devancé le pirate et vidé les fonds eux-mêmes avant qu'ils ne soient volés – ont également restitué 13 millions de dollars d'actifs. CoinDesk a rapporté.

Bien qu'ils n'y soient pas obligés, un opérateur de robot de trading connu sous le nom de c0ffeebabe. ETH a retourné 2 879 ETH– d’une valeur de près de 5,5 millions de dollars – à Curve.

Le robot de trading d'arbitrage qui a profité du déséquilibre alETH - la transaction qui a permis à Coinbase de gagner 1 million de dollars - a rendu son bénéfice de 43 ETH après que l'équipe Alchemix l'ait demandé.

Mais Alchemix affirme que Coinbase n’a pas fait de même.

« C'est fou », détective pseudonyme de la blockchainLorgner, fondateur d'Ogle Security Group, spécialisé dans la récupération d'actifs suite à des vols de Crypto , dont l'exploit Curve, a déclaré dans un message Telegram : « J'ai essayé de négocier avec eux et de leur parler au téléphone, mais ils refusent de T restituer les fonds, même après avoir reconnu le vol. »

« Ils citent la neutralité et la décentralisation et ont cité des arguments de pente glissante comme dire qu'on ne peut T s'attendre à ce qu'ils empêchent tous les crimes sur la blockchain, que les autoroutes ne sont T responsables des personnes qui commettent des crimes sur elles, ETC», a déclaré Ov3rkoalafied, un contributeur Alchemix qui a également assisté à un appel avec Coinbase.

« C'est une mauvaise analogie, car ils ne constituent pas un bien public et ils profitent directement de ces opérations », a-t-il ajouté. « Si quelqu'un utilise votre produit à des fins criminelles sans que vous en soyez conscient, vous ne pouvez être tenu responsable. En revanche, si vous recevez un signalement concernant un crime spécifique et que vous en tirez sciemment profit, vous êtes tenu de restituer les fonds. »

MISE À JOUR (15 septembre 2023, 16h45 UTC) :Ajoute des données Nansen dans le cinquième paragraphe.