Een senior security engineer is in de Verenigde Staten aangeklaagd voor het stelen van negen miljoen dollar van DeFi (decentralized finance)-platform Crema Finance, waarbij hij misbruik zou hebben gemaakt van een "smart contract" kwetsbaarheid in het platform. De man werkte voor een niet nader genoemd internationaal techbedrijf en hield zich onder andere bezig met het reverse engineeren van smart contracts en blockchain audits.

Via het DeFi-platform konden gebruikers hun cryptovaluta in een liquiditeitspool storten en via een smart contract aangeven wanneer de crypto mocht worden verkocht. Het hiervoor gebruikte smart contract bevatte verschillende inputs, waaronder een "tick account" dat van het DeFi-platform zelf is en informatie bevat over de hoeveelheid cryptovaluta die voor een bepaald bedrag werd aangeboden. Een andere input is het "position account" dat het aandeel van de gebruiker in de liquiditeitspool bijhoudt en wordt gebruikt voor het berekenen van de kosten. In tegenstelling tot de tick accounts kon elke gebruiker een position account bij Crema Finance aanmaken.

Beide accounts bevatten verschillende soorten data, maar de opmaak is hetzelfde. Daarnaast was op de blockchain vermeld dat zowel de tick als position accounts eigendom van het DeFi-platform waren, ook al konden gebruikers zelf position accounts aanmaken. De security engineer maakte hier volgens de aanklacht misbruik van door position accounts als tick accounts voor te doen. Eén van de valse tick accounts bevatte valse prijsinformatie waarmee de verdachte miljoenen dollars aan kosten genereerde, die hij vervolgens met een tweede, valse tick account opnam.

Na de diefstal nam de verdachte contact op met Crema Finance en beloofde de gestolen gelden terug te geven, als hij 1,5 miljoen dollar als bugbounty mocht houden en er geen aangifte bij de politie werd gedaan. Na de aanval zocht de security engineer naar informatie over de aanval, zijn eigen aansprakelijkheid, advocaten met kennis van dergelijke zaken, de mogelijkheid van opsporingsdiensten om dergelijke aanvallen te onderzoeken en het verlaten van de Verenigde Staten om niet te worden aangeklaagd, zo stelt de aanklager. De 34-jarige man werd gisteren in New York aangehouden en is aangeklaagd voor 'wire fraud' en witwassen, waarop elk een gevangenisstraf van maximaal 20 jaar staat.