原文标题:《IL A VOLÉ 200 MILLIONS DE DOLLARS. IL L'A REMIS. MAINTENANT, IL EST PRÊT À EXPLIQUER POURQUOI》
Auteur original : Zack Abrams, Coinage
Compilation : BlockBeats
Le 13 mars 2023, en seulement 18 minutes, un pirate informatique a volé près de 200 millions de dollars de crypto-monnaie à Euler Finance, une plateforme de prêt populaire, lors du plus grand vol de l'année. Après seulement trois semaines, il a annulé l'affaire et rendu tout ce qu'il avait volé.
Pour la première fois depuis le piratage, le chef de l'opération s'est présenté pour expliquer sa vision des événements et affirmer qu'il n'avait aucunement l'intention de garder l'argent.
Coinage a parlé à l'homme qui prétendait être le pirate informatique, un jeune Argentin nommé Federico Jaime, une affirmation étayée par d'autres preuves importantes. C'est son histoire.
Crédit photo : Instagram @federicojaimeok
Il était environ 3 heures du matin par une fraîche nuit de mars à Rome, et Federico se tenait devant un bar, attendant des amis et parlant à Dieu. L'Argentin de 19 ans cherchait quelque chose depuis un mois et il ne l'a toujours pas trouvé. Il s'est demandé pourquoi.
« Mon Dieu, si tous mes projets sont réalisés en un mois, pourquoi pas cette fois ? » pensa-t-il en regardant le ciel. " Pourquoi est-ce que je ne peux pas l'entendre maintenant, alors que je l'ai entendu avant ? " Il était encore à des heures de rentrer à l'hôtel.
Quand il est finalement rentré à la maison, il ne pouvait pas dormir, comme d'habitude. Alors, il a décidé d'aller travailler.
Les prières de Federico ont été exaucées presque immédiatement, peut-être prophétiquement. Il a trouvé ce qu'il cherchait : un bogue dans le code d'un programme de prêt de crypto-monnaie. Il se mit aussitôt à exploiter sa découverte.
"Quand je travaille, je travaille comme un artiste, comme un écrivain", m'a dit plus tard Federico au téléphone en anglais, sa deuxième langue. "Le manque de sommeil est une bonne chose pour réveiller la Muse."
Federico n'a pas pu dormir pendant les deux jours suivants. Quand il se réveille enfin dans un lit d'hôpital en Italie, il vaut 200 millions de dollars de plus, mais il sent une malédiction gravée sur son dos.
Crédit photo : Instagram @federicojaimeok
Le monde de la crypto-monnaie repose sur la transparence. Chaque transaction - envoyer de l'argent à un ami, acheter un NFT, contracter un prêt - est publique et irréversible. Les applications exécutées sur la blockchain (appelées contrats intelligents) sont également publiques ; n'importe qui peut inspecter le code par lui-même.
Alors que l'intérêt pour les crypto-monnaies a explosé au cours des dernières années, il en va de même pour toute une industrie d'applications financières décentralisées, permettant aux investisseurs de crypto-monnaie d'échanger des jetons, d'obtenir des prêts, de prendre des paris à effet de levier sur les mouvements de prix et de gagner des intérêts. Environ 45 milliards de dollars de crypto-monnaies sont actuellement engagés dans les protocoles DeFi ; à l'automne 2021, ce chiffre dépassera 175 milliards de dollars, soit à peu près l'équivalent du montant total des dépôts détenus par Morgan Stanley.
DeFi propose des innovations financières passionnantes pour les passionnés de crypto-monnaie, conformément au développement rapide et à la réglementation lâche du domaine de la crypto-monnaie. Si vous souhaitez emprunter 200 millions de dollars sans garantie, ou spéculer sur des crypto-monnaies «mèmes» comme DOGE et PEPE, alors DeFi est la seule solution.
Dans le même temps, les pirates voient DeFi comme divers coffres-forts bancaires numériques, chacun avec un plan public (code open source), invitant effectivement quelqu'un à essayer de voler. Les protocoles DeFi sont devenus une cible de choix pour les pirates de crypto-monnaie, qui ont volé 2,2 milliards de dollars à DeFi en 2021 et 3,1 milliards de dollars en 2022, représentant 80 % de toutes les crypto-monnaies volées cette année-là, selon la société de recherche sur les crypto-monnaies Chainaanalysis ci-dessus.
Le piratage de crypto-monnaie le plus réussi à ce jour est le groupe Lazarus, avec 1,1 milliard de dollars sur les 1,7 milliards de dollars volés à Lazarus en 2022 provenant d'exploits DeFi.
Face aux attaques sans fin, les protocoles DeFi réagissent en recrutant des entreprises de sécurité pour auditer les contrats intelligents, surveiller les menaces et même attirer les pirates informatiques (c'est-à-dire les pirates qui signalent les vulnérabilités pour des récompenses, plutôt que les pirates informatiques qui les exploitent) . Volez des exploits pour vous-même. Même un protocole DeFi fortement contrôlé qui prend toutes les précautions peut toujours être victime d'un piratage puissant par parfois juste un jeune de 19 ans avec Dieu à ses côtés.
Crédit photo : Instagram @federicojaimeok
Tout cela peut être évité avec une seule ligne de code.
De retour à l'hôtel, alors que le soleil se levait sur Rome, Federico a commencé à travailler sur un protocole de prêt DeFi appelé Euler Finance, développé par la startup londonienne Euler Labs. Euler permet à ses utilisateurs de contracter des prêts jusqu'à dix fois la valeur de leur garantie déposée ; mettez 10 000 $ et vous pouvez échanger environ 100 000 $. Mais les crypto-monnaies sont volatiles, et si les prix évoluent dans la mauvaise direction, les dépôts des utilisateurs peuvent ne pas suffire à garantir le remboursement de leur garantie. C'est pourquoi chaque fois qu'un utilisateur interagit avec Euler, la plateforme vérifie la santé de son compte et si le score de santé devient trop bas, une liquidation automatique est déclenchée.
Mais Federico a vu quelque chose qui n'existait pas : un manque de vérifications de l'état pour une seule fonction dans un seul contrat intelligent Euler. En seulement quelques heures de recherche, Federico a découvert ce que l'équipe d'Euler, ainsi que plusieurs auditeurs indépendants de contrats intelligents, avaient manqué.
"C'est juste une inspiration divine. Cela réveille juste ma muse", a déclaré Federico. "Exactement, après un mois à chercher ce que je cherchais... je l'ai trouvé."
Federico commence à planifier son attaque. Le 13 mars, après deux jours de programmation non-stop, il était presque prêt à exécuter. Seul problème : il ne sait pas comment déployer le smart contract, ni combien cela va coûter.
"J'étais en train de chercher sur Google, 'combien cela coûte-t-il de déployer un contrat intelligent?' et j'ai trouvé... des articles disant 'de 5 000 $ à 50 000 $'", a déclaré Federico, élevant la voix pour faire écho à l'incrédulité qu'il ressentait. "WTF"
Mais Federico est allé de l'avant et a finalement appris que les coûts réels de déploiement du contrat étaient bien inférieurs. À ce stade, quelques jours après avoir dormi pour la dernière fois, Federico m'a dit qu'il ne pensait pas du tout à l'argent. "Je pense que c'est une expérience. Juste une expérience", a-t-il expliqué. "Je ne suis pas sûr que ça va marcher... Je ne suis pas sûr de pouvoir déployer un contrat intelligent. Je suis plus dubitatif que certain."
"J'ai donc vraiment sous-estimé le bug et moi-même car cela a finalement fonctionné", a-t-il ajouté.
Le matin du 13 mars 2023, à 9 h 54, heure italienne, Federico est assis devant son ordinateur. En 18 minutes, les trois portefeuilles qu'il a utilisés pour lancer l'attaque contre Euler Finance ont volé 197 millions de dollars de crypto-monnaie au protocole. Les fonds se sont retrouvés dans un seul portefeuille – un sac de sport virtuel rempli de piles de billets de cent dollars.
"D'abord, j'ai pensé que c'était tellement excitant. J'ai conclu une énorme affaire, puis j'ai pensé, wow, 200 millions de dollars. C'est une malédiction sur mon dos."
Toujours incapable de dormir, Federico a demandé au concierge de l'hôtel d'appeler une ambulance.
![Le hacker Euler de 19 ans n'a pas pu dépasser l'hésitation de 200 millions de dollars pendant trois semaines] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Crédit photo : Instagram @federicojaimeok
Les premiers à détecter les anomalies sont les bots, et certaines sociétés de sécurité cryptographiques fournissent une surveillance des menaces en temps réel et des alertes pour les projets DeFi. Dans le cas du piratage d'Euler, au moins deux sociétés de sécurité, Forta et Hypernative, ont été alertées avant le début de l'attaque.
Malheureusement pour Euler Labs, qui a refusé de commenter cet article, l'alerte automatisée est intervenue quelques minutes seulement avant le début de l'attaque, ce qui a rendu trop tôt la startup basée à Londres pour sécuriser le protocole. ("Nous prévoyons généralement une attaque entre une minute et une heure", a déclaré Alex Behrens, directeur marketing de Forta.)
À 8 h 59, heure du Royaume-Uni, le lundi 11 mars, la société de sécurité blockchain PeckShield a publié sur les réseaux sociaux "Salut @eulerfinance: vous voudrez peut-être jeter un œil" et lié à une page montrant que le portefeuille avait piraté l'approvisionnement DAI Stablecoin d'Euler, avec plus de 8,7 millions de dollars de fonds volés.
Ensuite, tout le monde a regardé Euler se faire frapper encore et encore. Le hacker a volé 18,5 millions de dollars en WBTC, puis 116 millions de dollars en stETH... Au final, le hacker a réalisé un profit de 197 millions de dollars, et la totalité de la réserve de 6 jetons d'Euler a été anéantie.
À 9 h 56, Euler a cité PeckShield sur les réseaux sociaux disant : "Nous sommes conscients que notre équipe travaille actuellement avec des professionnels de la sécurité et des forces de l'ordre. Nous publierons de plus amples informations dès que nous les aurons."
Parce qu'il s'agit de crypto-monnaie, tout le monde peut voir les fonds dans le portefeuille du pirate. En examinant les transactions du portefeuille, les experts en sécurité ont pu inverser l'ingénierie de l'attaque, découvrant finalement la seule vulnérabilité qui a conduit au vol. Mais aussi parce qu'il s'agissait de crypto-monnaie, l'équipe d'Euler n'avait aucun moyen de lier le portefeuille à une identité réelle ou de comprendre les intentions du pirate.
Le 13 mars, l'acte final des pirates a été d'envoyer 100 ETH (d'une valeur de 168 000 $ à l'époque) via Tornado Cash, un protocole de transaction "hybride" sur Ethereum qui rend les fonds plus difficiles à retracer. Ensuite, l'adresse du portefeuille est silencieuse.
À 22 h 47 ce soir-là, l'équipe d'Euler a envoyé un message au porte-monnaie du hacker disant : "Nous comprenons que vous êtes responsable de l'attaque de ce matin sur la plate-forme Euler. Nous vous écrivons pour savoir si vous souhaitez discuter des prochaines étapes possibles. avec nous." Cette tentative de communication marque le début de trois semaines difficiles pour l'équipe Euler.
Le lendemain à 21 h 22, l'équipe d'Euler a envoyé un autre message au portefeuille du pirate proposant de restituer 90 % des fonds volés dans les 24 heures, laissant le pirate retenir la prime de facto de 20 millions de dollars. Sinon, Euler offre une prime de 1 million de dollars à quiconque fournit des informations menant à l'arrestation du pirate.
Le pirate n'a pas répondu.
Le 15 mars à 11h20, l'équipe d'Euler a envoyé un autre message au portefeuille du pirate informatique, réitérant l'offre précédente de prime de bogue. "L'enquête peut alors être arrêtée et l'accent peut être mis sur la redistribution aux utilisateurs du protocole sans passer par la voie légale", a écrit l'équipe d'Euler.
À 22 h 06, après que les pirates sont restés silencieux, l'équipe Euler a annoncé une récompense de 1 million de dollars pour les informations menant à l'arrestation du pirate et à la récupération des fonds. Le lendemain, le co-fondateur et PDG d'Euler, le Dr Michael Bentley, a partagé sa réponse à l'attaque, qualifiant les jours précédents de plus difficiles de sa vie et exprimant son chagrin pour les utilisateurs touchés.
"J'ai dû sacrifier du temps avec mon fils nouveau-né", a tweeté Bentley. "Je ne pardonnerai jamais aux attaquants, mais ils peuvent corriger leurs erreurs et restituer les fonds au Trésor d'EulerDAO dès que possible."
Crédit photo : Instagram @federicojaimeok
Federico Jaime affirme qu'il n'a jamais eu l'intention de garder l'argent. "Je savais depuis le début que 200 millions de dollars n'étaient pas un petit nombre, cela causerait d'énormes dommages à la communauté DeFi, et ce n'était pas du tout mon objectif."
Nous aimerions tous savoir, même pour un instant, si Federico s'est déjà demandé ce que 200 millions de dollars pourraient acheter, s'est imaginé vivre dans un manoir ? Sur un yacht ?
"Jamais, pas du tout, parce que je suis un entrepreneur. Je peux gagner de l'argent légalement et sans faille. Je n'ai pas besoin de voler. Je n'ai aucune raison de prendre l'argent des autres."
Pour la plupart des gens, un tel commentaire ne serait rien de plus que des yeux roulés. Après tout, la communauté crypto n'est pas connue pour son humilité. Mais j'ai vu des photos de Federico voyageant à travers l'Europe, séjournant dans des hôtels cinq étoiles et portant des vêtements de créateurs. Lors de nos conversations téléphoniques et occasionnelles par SMS, j'ai demandé à Federico, qui aura 20 ans en juin, comment il maintient son style de vie.
Federico a grandi à Buenos Aires avec ses parents et sa sœur cadette. Inspiré par son père ingénieur logiciel, il apprend à programmer à 12 ans et vend son premier programme, un plugin pour le jeu vidéo Minecraft, pour 10 000 $ à 14 ans. "Cela signifie la liberté parce que je n'ai plus besoin de demander de l'argent à mes parents et ils m'applaudissent."
Quand il a grandi, Federico est passé à un nouveau jeu, GTA V, où il a développé un système anti-triche pour un serveur multijoueur personnalisé géré par des fans inconditionnels du jeu. "J'ai trouvé un bogue de lecture de la mémoire. J'ai vu que nous pouvions en tirer profit", a déclaré Federico, ajoutant que le logiciel, FiveGuard, appartient désormais à quelqu'un d'autre. "C'est spécial parce que lorsque vous arrivez sur un serveur de jeu avec une sorte d'avantage injuste, vous êtes immédiatement banni."
Federico avait initialement prévu d'aller en Argentine pour la faculté de droit, mais après avoir obtenu son diplôme en 2020 et fait face à la nouvelle épidémie de couronne (il existe de nombreuses restrictions locales et une longue période de quarantaine à Buenos Aires), Federico, après avoir obtenu le consentement de ses parents, il décidé de prendre de longues vacances avant l'université.
Début octobre de l'année dernière, Federico s'est rendu à Rome. En décembre, il aurait ciblé Buenbit, un échange de crypto-monnaie opérant en Argentine, au Mexique et au Pérou, et aurait volé des centaines de milliers de dollars. Le PDG de Buenbit, Federico Ogue, a qualifié l'attaque de frauduleuse. Des reportages citant des sources policières ont estimé le coût de l'attaque à 800 000 dollars, un chiffre que Federico a démenti.
Federico n'a pas voulu commenter les détails de l'affaire, et bien qu'il ait reconnu qu'il visait Buenbit, il a également affirmé que bon nombre des détails les plus excitants dans les reportages des médias étaient soit trompeurs, soit carrément fabriqués. Le jeune homme de 20 ans clame son innocence dans cette affaire, notant que lui et son avocat sont en contact avec l'équipe de Buenbit et qu'il espère que l'affaire sera résolue dans les plus brefs délais.
Et, quelques mois plus tard, Federico a de nouveaux soucis, cette fois 200 millions.
![Le hacker Euler de 19 ans n'a pas pu dépasser l'hésitation de 200 millions de dollars pendant trois semaines] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Crédit photo : Instagram @federicojaimeok
Au moment de l'attaque, Euler Finance comptait jusqu'à 7 000 utilisateurs. Deux jours plus tard, le 15 mars, l'une des victimes a décidé d'envoyer un message au portefeuille du pirate (le portefeuille de Federico).
"Veuillez envisager de retourner 90%/80%. Je suis un utilisateur avec seulement 78 wstETH, et en tant qu'utilisateur qui a sauvé mes économies d'une vie à Euler, je ne suis pas une baleine ou un millionnaire." DL News a confirmé que l'utilisateur est un Argentin nommé Santiago Avalos Blockchain développeurs, écrit-il. "Vous ne pouvez pas imaginer le chaos dans lequel je me trouve en ce moment, totalement dévasté... Votre décision sera un soulagement pour de nombreuses personnes affectées."
Les économies d'une vie d'Avalos de 78 wstETH valaient plus de 140 000 $ à l'époque. Treize heures après qu'Avalos ait envoyé le message, Federico a répondu, mais pas par SMS. Au lieu de cela, Federico a fait son premier pas depuis le piratage d'il y a trois jours, en envoyant 100 ETH à Avalos, soit environ 27 000 $ de plus que la victime perdue dans le crash d'Euler. Avalos a renvoyé les fonds excédentaires à Euler en disant: "Je pense qu'il a peut-être été ému par mon message."
"C'est un geste de mon cœur", a déclaré Federico à propos de sa motivation à rendre les fonds. "J'étais généreux. De plus, j'ai découvert plus tard que ce type... était aussi Argentin et développeur Solidity", a-t-il ajouté. "C'est une coïncidence très intéressante en effet."
Federico n'a pas encore terminé le transfert de fonds. Combiné au fait qu'il s'est envoyé un total de 1 100 ETH via Tornado Cash à deux reprises, cela porte ses revenus à près de 2 millions de dollars. Quand je lui ai demandé pourquoi, Federico m'a dit : "Je n'y ai pas beaucoup réfléchi. J'ai pensé que s'ils me donnaient 10% de la prime, c'était trop pour moi. Je vais essayer d'en prendre 1%. ”
Son prochain mouvement est de loin le plus déroutant. Le 17 mars, juste avant 5 heures du matin, Federico a de nouveau envoyé 100 ETH, cette fois à un portefeuille notoire qui avait effectué l'un des plus grands piratages de crypto-monnaie de l'histoire un an plus tôt - du pont Ronin a volé plus de 600 millions de dollars. À peine un mois plus tard, l'Office of Foreign Assets and Control (OFAC) du département du Trésor américain a officiellement lié la vulnérabilité du pont Ronin au groupe Lazarus.
Pourtant, quand je lui ai posé la question, son explication m'a bluffé. "Je n'avais aucune idée que c'était la Corée du Nord. Je ne m'en doutais pas", a-t-il commencé. "La raison pour laquelle j'ai envoyé 100 ETH aux exploiteurs de Ronin était une pure admiration... Je suppose que, des pirates au chapeau blanc aux pirates au chapeau noir, je voulais exprimer mon admiration."
J'étais stupéfait et Federico l'a vu aussi. "Je sais que tu ne t'attendais pas à ce que je dise ça, mais c'est vrai," répondit-il. "Je pense que c'est le domaine le plus important au monde aujourd'hui, et le piratage de Ronin était un acte d'ingénierie. En ce sens, c'est admirable... Les démons peuvent aussi être de belles femmes."
Le lendemain, Federico a commencé à restituer les fonds, initialement en trois versements de 1 000 ETH chacun, totalisant environ 5,4 millions de dollars à l'époque. Ensuite, son portefeuille est redevenu inactif. Les analystes étaient sceptiques à l'époque quant à la capacité d'Euler à récupérer les fonds restants.
Mais deux jours plus tard, le 20 mars, Federico envoie son premier message à l'équipe d'Euler : « Nous voulons faciliter la tâche de toutes les personnes concernées. Aucune intention de garder des choses qui ne nous appartiennent pas. un accord."
Federico a admis que la nouvelle était un peu tardive: "J'essayais de décider si c'était une bonne idée de garder 20 millions de dollars pour moi … parce que c'est ce qu'Euler m'a proposé", a-t-il déclaré. "J'étais vraiment mal préparé, inexpérimenté et nouveau... Je n'ai pas dormi pendant des jours, des semaines, mais à la fin de la journée, je savais que je devais le rendre, et je savais que je ne voulais pas le faire tout dommage à la base d'utilisateurs d'Euler. "
Pourtant, il a fallu un certain temps à Federico pour restituer les fonds. Le 25 mars vers 15 heures, 81 953 ETH (environ 143 millions de dollars) ont été vus pour la première fois. Puis le 27, 10 millions de dollars en DAI ont suivi. À 3 heures du matin le 28, Federico s'est publiquement excusé en disant: "J'ai foiré. Je ne voulais pas, mais j'ai gâché l'argent des autres, le travail des autres, la vie des autres ... s'il vous plaît, pardonnez-moi. " Cependant, certains fonds étaient encore sous son contrôle.
Enfin, le 3 avril, l'équipe d'Euler a annoncé avec enthousiasme qu'après les dernières transactions du pirate, tous les "fonds récupérables" avaient été restitués. Euler a également officiellement révoqué la prime de 1 million de dollars sur la tête de Federico. Le retour des fonds a marqué l'une des récupérations les plus réussies de l'histoire de DeFi, et Federico était soulagé que tout soit terminé.
Puis, deux mois et demi plus tard, le portefeuille de Federico est redevenu actif, s'envoyant des messages. Le premier était le 17 juin, avec seulement deux mots : "Ben yre" - Buenos Aires. Dix-sept minutes plus tard, un autre message est venu du portefeuille, également en espagnol, prétendant être un hacker argentin, péroniste et chapeau blanc. Le conseil du message aux autres hackers : "Ne soyez pas stupide, ne volez pas, gagnez la prime."
À la fin du message, le portefeuille est lié à un compte Instagram - @federicojaimeok. Je lui ai envoyé un message privé. Nous avons commencé à parler sur Instagram, où les histoires de Federico sont archivées depuis septembre 2022, puis nous avons parlé sur Telegram. Au cours de notre conversation, tout ce que cet homme m'a dit correspondait à ce que j'avais appris sur Federico par d'autres sources. Federico m'a également fourni le numéro de téléphone de son père, qui a confirmé son identité et sa relation avec Federico, et m'a fourni d'autres informations qui correspondaient à ce que Federico m'avait dit.
Federico m'a dit qu'il avait décidé de se présenter non pas pour son propre bénéfice, mais pour le bénéfice de la communauté DeFi. "Je veux encourager le piratage éthique, c'est la raison principale, et je veux pouvoir faire entendre ma voix et dire aux gens de faire ce qu'il faut."
Federico espère également que la tactique de négociation d'Euler avec les attaquants créera un précédent pour d'autres parties de DeFi à suivre. "Je suis sûr que la scène du piratage dans la finance décentralisée sera différente après le piratage d'Euler. Je pense que cela montre au monde l'importance de l'audit et l'importance de négocier après un piratage", a-t-il déclaré.
Erin Plante, vice-présidente des enquêtes chez Chainalysis, a déclaré: "Cependant, tout le monde dans l'espace de la crypto-monnaie n'est pas enthousiaste à l'idée que les primes de bogue et les négociations avec les pirates informatiques deviennent la norme. La plupart des hacks DeFi ne partent pas de primes de bogue légitimes. Au lieu d'être payé 100 000 $ ou 500 000 $, ils exigent souvent 50 % ou plus du montant total des fonds volés à titre de commission, ce qui s'apparente davantage à de l'extorsion.
Plante a également noté qu'à mesure que les forces de l'ordre s'améliorent dans le suivi des crypto-monnaies illicites, il devient plus difficile pour les pirates d'encaisser leurs gains. "Dans ce contexte, associé à une baisse collective des primes dans l'ensemble de l'industrie, les incitations pour les pirates à faire le travail changeront, espérons-le", a-t-elle déclaré.
Federico m'a répété à plusieurs reprises que son plan depuis le début était de restituer les fonds. Alors pourquoi cela lui a-t-il pris trois semaines ?
"Je veux avoir le temps de me protéger et de trouver des moyens d'être en sécurité, légalement et autrement", a-t-il déclaré.
Bien sûr, certaines des affirmations de Federico ne peuvent pas être vérifiées. Federico m'a dit que la conception et la mise en œuvre du protocole étaient entièrement son travail ("j'ai tout fait moi-même"), bien qu'il reçoive parfois des conseils d'un collègue, comme une liste de protocoles DeFi à rechercher (ce qui ressemble plus à masquer le l'implication d'autres personnes, car il n'y a aucun moyen de déterminer qui a écrit le code à partir des données en chaîne dont nous disposons.)
Nous ne saurons jamais non plus si Federico aurait gardé l'argent s'il avait mieux planifié l'attaque. Il m'a avoué qu'il regrettait de ne pas avoir pensé aux conséquences, mais a dit qu'il s'agissait simplement de faire ce qu'il fallait. "Je n'avais tout simplement pas suffisamment planifié et le montant était trop important pour moi", a-t-il déclaré.
Federico m'a dit qu'il regrettait la douleur qu'il a causée à l'équipe d'Euler. "Quand j'ai lu le tweet de Michael Bentley disant qu'il devait sacrifier du temps avec sa famille, ça m'a brisé le cœur", a-t-il déclaré. Quand je lui ai demandé s'il était préoccupé par les répercussions futures de l'attaque, il a rejeté ces inquiétudes. "Je suis convaincu que, légalement, l'équipe Euler ne pourra pas me retrouver rétroactivement, car cela empêcherait les futurs pirates de retourner des fonds."
Pour le plus grand plaisir (et presque l'incrédulité) des victimes, Euler Finance a commencé à verser des indemnités aux victimes de l'attaque le 12 avril. L'impact de la vulnérabilité s'est propagé à 11 autres protocoles DeFi. L'un d'eux (Yield Protocol) n'a repris que le 27 juin. Euler Finance est paralysé depuis le piratage.
Federico, toujours en Europe, a décrit sa situation personnelle comme "compliquée" mais a déclaré qu'il espérait retourner bientôt à Buenos Aires pour poursuivre ses études. "Ma vie n'a pas été aussi simple depuis le piratage d'Euler et cela m'a stressé."
J'ai demandé à Federico s'il pensait que Dieu, répondant apparemment à ses prières, lui donnait une leçon. "Je pense qu'il joue à un jeu avec moi ou qu'il (teste) moi", a-t-il répondu.
Federico n'a pas encore pris sa décision.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Confronté à 200 millions de dollars d'hésitation pendant trois semaines, le hacker Euler de 19 ans n'en revient pas à sa conscience
原文标题:《IL A VOLÉ 200 MILLIONS DE DOLLARS. IL L'A REMIS. MAINTENANT, IL EST PRÊT À EXPLIQUER POURQUOI》
Auteur original : Zack Abrams, Coinage
Compilation : BlockBeats
Le 13 mars 2023, en seulement 18 minutes, un pirate informatique a volé près de 200 millions de dollars de crypto-monnaie à Euler Finance, une plateforme de prêt populaire, lors du plus grand vol de l'année. Après seulement trois semaines, il a annulé l'affaire et rendu tout ce qu'il avait volé.
Pour la première fois depuis le piratage, le chef de l'opération s'est présenté pour expliquer sa vision des événements et affirmer qu'il n'avait aucunement l'intention de garder l'argent.
Coinage a parlé à l'homme qui prétendait être le pirate informatique, un jeune Argentin nommé Federico Jaime, une affirmation étayée par d'autres preuves importantes. C'est son histoire.
Crédit photo : Instagram @federicojaimeok
Il était environ 3 heures du matin par une fraîche nuit de mars à Rome, et Federico se tenait devant un bar, attendant des amis et parlant à Dieu. L'Argentin de 19 ans cherchait quelque chose depuis un mois et il ne l'a toujours pas trouvé. Il s'est demandé pourquoi.
« Mon Dieu, si tous mes projets sont réalisés en un mois, pourquoi pas cette fois ? » pensa-t-il en regardant le ciel. " Pourquoi est-ce que je ne peux pas l'entendre maintenant, alors que je l'ai entendu avant ? " Il était encore à des heures de rentrer à l'hôtel.
Quand il est finalement rentré à la maison, il ne pouvait pas dormir, comme d'habitude. Alors, il a décidé d'aller travailler.
Les prières de Federico ont été exaucées presque immédiatement, peut-être prophétiquement. Il a trouvé ce qu'il cherchait : un bogue dans le code d'un programme de prêt de crypto-monnaie. Il se mit aussitôt à exploiter sa découverte.
"Quand je travaille, je travaille comme un artiste, comme un écrivain", m'a dit plus tard Federico au téléphone en anglais, sa deuxième langue. "Le manque de sommeil est une bonne chose pour réveiller la Muse."
Federico n'a pas pu dormir pendant les deux jours suivants. Quand il se réveille enfin dans un lit d'hôpital en Italie, il vaut 200 millions de dollars de plus, mais il sent une malédiction gravée sur son dos.
Crédit photo : Instagram @federicojaimeok
Le monde de la crypto-monnaie repose sur la transparence. Chaque transaction - envoyer de l'argent à un ami, acheter un NFT, contracter un prêt - est publique et irréversible. Les applications exécutées sur la blockchain (appelées contrats intelligents) sont également publiques ; n'importe qui peut inspecter le code par lui-même.
Alors que l'intérêt pour les crypto-monnaies a explosé au cours des dernières années, il en va de même pour toute une industrie d'applications financières décentralisées, permettant aux investisseurs de crypto-monnaie d'échanger des jetons, d'obtenir des prêts, de prendre des paris à effet de levier sur les mouvements de prix et de gagner des intérêts. Environ 45 milliards de dollars de crypto-monnaies sont actuellement engagés dans les protocoles DeFi ; à l'automne 2021, ce chiffre dépassera 175 milliards de dollars, soit à peu près l'équivalent du montant total des dépôts détenus par Morgan Stanley.
DeFi propose des innovations financières passionnantes pour les passionnés de crypto-monnaie, conformément au développement rapide et à la réglementation lâche du domaine de la crypto-monnaie. Si vous souhaitez emprunter 200 millions de dollars sans garantie, ou spéculer sur des crypto-monnaies «mèmes» comme DOGE et PEPE, alors DeFi est la seule solution.
Dans le même temps, les pirates voient DeFi comme divers coffres-forts bancaires numériques, chacun avec un plan public (code open source), invitant effectivement quelqu'un à essayer de voler. Les protocoles DeFi sont devenus une cible de choix pour les pirates de crypto-monnaie, qui ont volé 2,2 milliards de dollars à DeFi en 2021 et 3,1 milliards de dollars en 2022, représentant 80 % de toutes les crypto-monnaies volées cette année-là, selon la société de recherche sur les crypto-monnaies Chainaanalysis ci-dessus.
Le piratage de crypto-monnaie le plus réussi à ce jour est le groupe Lazarus, avec 1,1 milliard de dollars sur les 1,7 milliards de dollars volés à Lazarus en 2022 provenant d'exploits DeFi.
Face aux attaques sans fin, les protocoles DeFi réagissent en recrutant des entreprises de sécurité pour auditer les contrats intelligents, surveiller les menaces et même attirer les pirates informatiques (c'est-à-dire les pirates qui signalent les vulnérabilités pour des récompenses, plutôt que les pirates informatiques qui les exploitent) . Volez des exploits pour vous-même. Même un protocole DeFi fortement contrôlé qui prend toutes les précautions peut toujours être victime d'un piratage puissant par parfois juste un jeune de 19 ans avec Dieu à ses côtés.
Crédit photo : Instagram @federicojaimeok
Tout cela peut être évité avec une seule ligne de code.
De retour à l'hôtel, alors que le soleil se levait sur Rome, Federico a commencé à travailler sur un protocole de prêt DeFi appelé Euler Finance, développé par la startup londonienne Euler Labs. Euler permet à ses utilisateurs de contracter des prêts jusqu'à dix fois la valeur de leur garantie déposée ; mettez 10 000 $ et vous pouvez échanger environ 100 000 $. Mais les crypto-monnaies sont volatiles, et si les prix évoluent dans la mauvaise direction, les dépôts des utilisateurs peuvent ne pas suffire à garantir le remboursement de leur garantie. C'est pourquoi chaque fois qu'un utilisateur interagit avec Euler, la plateforme vérifie la santé de son compte et si le score de santé devient trop bas, une liquidation automatique est déclenchée.
Mais Federico a vu quelque chose qui n'existait pas : un manque de vérifications de l'état pour une seule fonction dans un seul contrat intelligent Euler. En seulement quelques heures de recherche, Federico a découvert ce que l'équipe d'Euler, ainsi que plusieurs auditeurs indépendants de contrats intelligents, avaient manqué.
"C'est juste une inspiration divine. Cela réveille juste ma muse", a déclaré Federico. "Exactement, après un mois à chercher ce que je cherchais... je l'ai trouvé."
Federico commence à planifier son attaque. Le 13 mars, après deux jours de programmation non-stop, il était presque prêt à exécuter. Seul problème : il ne sait pas comment déployer le smart contract, ni combien cela va coûter.
"J'étais en train de chercher sur Google, 'combien cela coûte-t-il de déployer un contrat intelligent?' et j'ai trouvé... des articles disant 'de 5 000 $ à 50 000 $'", a déclaré Federico, élevant la voix pour faire écho à l'incrédulité qu'il ressentait. "WTF"
Mais Federico est allé de l'avant et a finalement appris que les coûts réels de déploiement du contrat étaient bien inférieurs. À ce stade, quelques jours après avoir dormi pour la dernière fois, Federico m'a dit qu'il ne pensait pas du tout à l'argent. "Je pense que c'est une expérience. Juste une expérience", a-t-il expliqué. "Je ne suis pas sûr que ça va marcher... Je ne suis pas sûr de pouvoir déployer un contrat intelligent. Je suis plus dubitatif que certain."
"J'ai donc vraiment sous-estimé le bug et moi-même car cela a finalement fonctionné", a-t-il ajouté.
Le matin du 13 mars 2023, à 9 h 54, heure italienne, Federico est assis devant son ordinateur. En 18 minutes, les trois portefeuilles qu'il a utilisés pour lancer l'attaque contre Euler Finance ont volé 197 millions de dollars de crypto-monnaie au protocole. Les fonds se sont retrouvés dans un seul portefeuille – un sac de sport virtuel rempli de piles de billets de cent dollars.
"D'abord, j'ai pensé que c'était tellement excitant. J'ai conclu une énorme affaire, puis j'ai pensé, wow, 200 millions de dollars. C'est une malédiction sur mon dos."
Toujours incapable de dormir, Federico a demandé au concierge de l'hôtel d'appeler une ambulance.
![Le hacker Euler de 19 ans n'a pas pu dépasser l'hésitation de 200 millions de dollars pendant trois semaines] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Crédit photo : Instagram @federicojaimeok
Les premiers à détecter les anomalies sont les bots, et certaines sociétés de sécurité cryptographiques fournissent une surveillance des menaces en temps réel et des alertes pour les projets DeFi. Dans le cas du piratage d'Euler, au moins deux sociétés de sécurité, Forta et Hypernative, ont été alertées avant le début de l'attaque.
Malheureusement pour Euler Labs, qui a refusé de commenter cet article, l'alerte automatisée est intervenue quelques minutes seulement avant le début de l'attaque, ce qui a rendu trop tôt la startup basée à Londres pour sécuriser le protocole. ("Nous prévoyons généralement une attaque entre une minute et une heure", a déclaré Alex Behrens, directeur marketing de Forta.)
À 8 h 59, heure du Royaume-Uni, le lundi 11 mars, la société de sécurité blockchain PeckShield a publié sur les réseaux sociaux "Salut @eulerfinance: vous voudrez peut-être jeter un œil" et lié à une page montrant que le portefeuille avait piraté l'approvisionnement DAI Stablecoin d'Euler, avec plus de 8,7 millions de dollars de fonds volés.
Ensuite, tout le monde a regardé Euler se faire frapper encore et encore. Le hacker a volé 18,5 millions de dollars en WBTC, puis 116 millions de dollars en stETH... Au final, le hacker a réalisé un profit de 197 millions de dollars, et la totalité de la réserve de 6 jetons d'Euler a été anéantie.
À 9 h 56, Euler a cité PeckShield sur les réseaux sociaux disant : "Nous sommes conscients que notre équipe travaille actuellement avec des professionnels de la sécurité et des forces de l'ordre. Nous publierons de plus amples informations dès que nous les aurons."
Parce qu'il s'agit de crypto-monnaie, tout le monde peut voir les fonds dans le portefeuille du pirate. En examinant les transactions du portefeuille, les experts en sécurité ont pu inverser l'ingénierie de l'attaque, découvrant finalement la seule vulnérabilité qui a conduit au vol. Mais aussi parce qu'il s'agissait de crypto-monnaie, l'équipe d'Euler n'avait aucun moyen de lier le portefeuille à une identité réelle ou de comprendre les intentions du pirate.
Le 13 mars, l'acte final des pirates a été d'envoyer 100 ETH (d'une valeur de 168 000 $ à l'époque) via Tornado Cash, un protocole de transaction "hybride" sur Ethereum qui rend les fonds plus difficiles à retracer. Ensuite, l'adresse du portefeuille est silencieuse.
À 22 h 47 ce soir-là, l'équipe d'Euler a envoyé un message au porte-monnaie du hacker disant : "Nous comprenons que vous êtes responsable de l'attaque de ce matin sur la plate-forme Euler. Nous vous écrivons pour savoir si vous souhaitez discuter des prochaines étapes possibles. avec nous." Cette tentative de communication marque le début de trois semaines difficiles pour l'équipe Euler.
Le lendemain à 21 h 22, l'équipe d'Euler a envoyé un autre message au portefeuille du pirate proposant de restituer 90 % des fonds volés dans les 24 heures, laissant le pirate retenir la prime de facto de 20 millions de dollars. Sinon, Euler offre une prime de 1 million de dollars à quiconque fournit des informations menant à l'arrestation du pirate.
Le pirate n'a pas répondu.
Le 15 mars à 11h20, l'équipe d'Euler a envoyé un autre message au portefeuille du pirate informatique, réitérant l'offre précédente de prime de bogue. "L'enquête peut alors être arrêtée et l'accent peut être mis sur la redistribution aux utilisateurs du protocole sans passer par la voie légale", a écrit l'équipe d'Euler.
À 22 h 06, après que les pirates sont restés silencieux, l'équipe Euler a annoncé une récompense de 1 million de dollars pour les informations menant à l'arrestation du pirate et à la récupération des fonds. Le lendemain, le co-fondateur et PDG d'Euler, le Dr Michael Bentley, a partagé sa réponse à l'attaque, qualifiant les jours précédents de plus difficiles de sa vie et exprimant son chagrin pour les utilisateurs touchés.
"J'ai dû sacrifier du temps avec mon fils nouveau-né", a tweeté Bentley. "Je ne pardonnerai jamais aux attaquants, mais ils peuvent corriger leurs erreurs et restituer les fonds au Trésor d'EulerDAO dès que possible."
Crédit photo : Instagram @federicojaimeok
Federico Jaime affirme qu'il n'a jamais eu l'intention de garder l'argent. "Je savais depuis le début que 200 millions de dollars n'étaient pas un petit nombre, cela causerait d'énormes dommages à la communauté DeFi, et ce n'était pas du tout mon objectif."
Nous aimerions tous savoir, même pour un instant, si Federico s'est déjà demandé ce que 200 millions de dollars pourraient acheter, s'est imaginé vivre dans un manoir ? Sur un yacht ?
"Jamais, pas du tout, parce que je suis un entrepreneur. Je peux gagner de l'argent légalement et sans faille. Je n'ai pas besoin de voler. Je n'ai aucune raison de prendre l'argent des autres."
Pour la plupart des gens, un tel commentaire ne serait rien de plus que des yeux roulés. Après tout, la communauté crypto n'est pas connue pour son humilité. Mais j'ai vu des photos de Federico voyageant à travers l'Europe, séjournant dans des hôtels cinq étoiles et portant des vêtements de créateurs. Lors de nos conversations téléphoniques et occasionnelles par SMS, j'ai demandé à Federico, qui aura 20 ans en juin, comment il maintient son style de vie.
Federico a grandi à Buenos Aires avec ses parents et sa sœur cadette. Inspiré par son père ingénieur logiciel, il apprend à programmer à 12 ans et vend son premier programme, un plugin pour le jeu vidéo Minecraft, pour 10 000 $ à 14 ans. "Cela signifie la liberté parce que je n'ai plus besoin de demander de l'argent à mes parents et ils m'applaudissent."
Quand il a grandi, Federico est passé à un nouveau jeu, GTA V, où il a développé un système anti-triche pour un serveur multijoueur personnalisé géré par des fans inconditionnels du jeu. "J'ai trouvé un bogue de lecture de la mémoire. J'ai vu que nous pouvions en tirer profit", a déclaré Federico, ajoutant que le logiciel, FiveGuard, appartient désormais à quelqu'un d'autre. "C'est spécial parce que lorsque vous arrivez sur un serveur de jeu avec une sorte d'avantage injuste, vous êtes immédiatement banni."
Federico avait initialement prévu d'aller en Argentine pour la faculté de droit, mais après avoir obtenu son diplôme en 2020 et fait face à la nouvelle épidémie de couronne (il existe de nombreuses restrictions locales et une longue période de quarantaine à Buenos Aires), Federico, après avoir obtenu le consentement de ses parents, il décidé de prendre de longues vacances avant l'université.
Début octobre de l'année dernière, Federico s'est rendu à Rome. En décembre, il aurait ciblé Buenbit, un échange de crypto-monnaie opérant en Argentine, au Mexique et au Pérou, et aurait volé des centaines de milliers de dollars. Le PDG de Buenbit, Federico Ogue, a qualifié l'attaque de frauduleuse. Des reportages citant des sources policières ont estimé le coût de l'attaque à 800 000 dollars, un chiffre que Federico a démenti.
Federico n'a pas voulu commenter les détails de l'affaire, et bien qu'il ait reconnu qu'il visait Buenbit, il a également affirmé que bon nombre des détails les plus excitants dans les reportages des médias étaient soit trompeurs, soit carrément fabriqués. Le jeune homme de 20 ans clame son innocence dans cette affaire, notant que lui et son avocat sont en contact avec l'équipe de Buenbit et qu'il espère que l'affaire sera résolue dans les plus brefs délais.
Et, quelques mois plus tard, Federico a de nouveaux soucis, cette fois 200 millions.
![Le hacker Euler de 19 ans n'a pas pu dépasser l'hésitation de 200 millions de dollars pendant trois semaines] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Crédit photo : Instagram @federicojaimeok
Au moment de l'attaque, Euler Finance comptait jusqu'à 7 000 utilisateurs. Deux jours plus tard, le 15 mars, l'une des victimes a décidé d'envoyer un message au portefeuille du pirate (le portefeuille de Federico).
"Veuillez envisager de retourner 90%/80%. Je suis un utilisateur avec seulement 78 wstETH, et en tant qu'utilisateur qui a sauvé mes économies d'une vie à Euler, je ne suis pas une baleine ou un millionnaire." DL News a confirmé que l'utilisateur est un Argentin nommé Santiago Avalos Blockchain développeurs, écrit-il. "Vous ne pouvez pas imaginer le chaos dans lequel je me trouve en ce moment, totalement dévasté... Votre décision sera un soulagement pour de nombreuses personnes affectées."
Les économies d'une vie d'Avalos de 78 wstETH valaient plus de 140 000 $ à l'époque. Treize heures après qu'Avalos ait envoyé le message, Federico a répondu, mais pas par SMS. Au lieu de cela, Federico a fait son premier pas depuis le piratage d'il y a trois jours, en envoyant 100 ETH à Avalos, soit environ 27 000 $ de plus que la victime perdue dans le crash d'Euler. Avalos a renvoyé les fonds excédentaires à Euler en disant: "Je pense qu'il a peut-être été ému par mon message."
"C'est un geste de mon cœur", a déclaré Federico à propos de sa motivation à rendre les fonds. "J'étais généreux. De plus, j'ai découvert plus tard que ce type... était aussi Argentin et développeur Solidity", a-t-il ajouté. "C'est une coïncidence très intéressante en effet."
Federico n'a pas encore terminé le transfert de fonds. Combiné au fait qu'il s'est envoyé un total de 1 100 ETH via Tornado Cash à deux reprises, cela porte ses revenus à près de 2 millions de dollars. Quand je lui ai demandé pourquoi, Federico m'a dit : "Je n'y ai pas beaucoup réfléchi. J'ai pensé que s'ils me donnaient 10% de la prime, c'était trop pour moi. Je vais essayer d'en prendre 1%. ”
Son prochain mouvement est de loin le plus déroutant. Le 17 mars, juste avant 5 heures du matin, Federico a de nouveau envoyé 100 ETH, cette fois à un portefeuille notoire qui avait effectué l'un des plus grands piratages de crypto-monnaie de l'histoire un an plus tôt - du pont Ronin a volé plus de 600 millions de dollars. À peine un mois plus tard, l'Office of Foreign Assets and Control (OFAC) du département du Trésor américain a officiellement lié la vulnérabilité du pont Ronin au groupe Lazarus.
Pourtant, quand je lui ai posé la question, son explication m'a bluffé. "Je n'avais aucune idée que c'était la Corée du Nord. Je ne m'en doutais pas", a-t-il commencé. "La raison pour laquelle j'ai envoyé 100 ETH aux exploiteurs de Ronin était une pure admiration... Je suppose que, des pirates au chapeau blanc aux pirates au chapeau noir, je voulais exprimer mon admiration."
J'étais stupéfait et Federico l'a vu aussi. "Je sais que tu ne t'attendais pas à ce que je dise ça, mais c'est vrai," répondit-il. "Je pense que c'est le domaine le plus important au monde aujourd'hui, et le piratage de Ronin était un acte d'ingénierie. En ce sens, c'est admirable... Les démons peuvent aussi être de belles femmes."
Le lendemain, Federico a commencé à restituer les fonds, initialement en trois versements de 1 000 ETH chacun, totalisant environ 5,4 millions de dollars à l'époque. Ensuite, son portefeuille est redevenu inactif. Les analystes étaient sceptiques à l'époque quant à la capacité d'Euler à récupérer les fonds restants.
Mais deux jours plus tard, le 20 mars, Federico envoie son premier message à l'équipe d'Euler : « Nous voulons faciliter la tâche de toutes les personnes concernées. Aucune intention de garder des choses qui ne nous appartiennent pas. un accord."
Federico a admis que la nouvelle était un peu tardive: "J'essayais de décider si c'était une bonne idée de garder 20 millions de dollars pour moi … parce que c'est ce qu'Euler m'a proposé", a-t-il déclaré. "J'étais vraiment mal préparé, inexpérimenté et nouveau... Je n'ai pas dormi pendant des jours, des semaines, mais à la fin de la journée, je savais que je devais le rendre, et je savais que je ne voulais pas le faire tout dommage à la base d'utilisateurs d'Euler. "
Pourtant, il a fallu un certain temps à Federico pour restituer les fonds. Le 25 mars vers 15 heures, 81 953 ETH (environ 143 millions de dollars) ont été vus pour la première fois. Puis le 27, 10 millions de dollars en DAI ont suivi. À 3 heures du matin le 28, Federico s'est publiquement excusé en disant: "J'ai foiré. Je ne voulais pas, mais j'ai gâché l'argent des autres, le travail des autres, la vie des autres ... s'il vous plaît, pardonnez-moi. " Cependant, certains fonds étaient encore sous son contrôle.
Enfin, le 3 avril, l'équipe d'Euler a annoncé avec enthousiasme qu'après les dernières transactions du pirate, tous les "fonds récupérables" avaient été restitués. Euler a également officiellement révoqué la prime de 1 million de dollars sur la tête de Federico. Le retour des fonds a marqué l'une des récupérations les plus réussies de l'histoire de DeFi, et Federico était soulagé que tout soit terminé.
Puis, deux mois et demi plus tard, le portefeuille de Federico est redevenu actif, s'envoyant des messages. Le premier était le 17 juin, avec seulement deux mots : "Ben yre" - Buenos Aires. Dix-sept minutes plus tard, un autre message est venu du portefeuille, également en espagnol, prétendant être un hacker argentin, péroniste et chapeau blanc. Le conseil du message aux autres hackers : "Ne soyez pas stupide, ne volez pas, gagnez la prime."
À la fin du message, le portefeuille est lié à un compte Instagram - @federicojaimeok. Je lui ai envoyé un message privé. Nous avons commencé à parler sur Instagram, où les histoires de Federico sont archivées depuis septembre 2022, puis nous avons parlé sur Telegram. Au cours de notre conversation, tout ce que cet homme m'a dit correspondait à ce que j'avais appris sur Federico par d'autres sources. Federico m'a également fourni le numéro de téléphone de son père, qui a confirmé son identité et sa relation avec Federico, et m'a fourni d'autres informations qui correspondaient à ce que Federico m'avait dit.
Federico m'a dit qu'il avait décidé de se présenter non pas pour son propre bénéfice, mais pour le bénéfice de la communauté DeFi. "Je veux encourager le piratage éthique, c'est la raison principale, et je veux pouvoir faire entendre ma voix et dire aux gens de faire ce qu'il faut."
Federico espère également que la tactique de négociation d'Euler avec les attaquants créera un précédent pour d'autres parties de DeFi à suivre. "Je suis sûr que la scène du piratage dans la finance décentralisée sera différente après le piratage d'Euler. Je pense que cela montre au monde l'importance de l'audit et l'importance de négocier après un piratage", a-t-il déclaré.
Erin Plante, vice-présidente des enquêtes chez Chainalysis, a déclaré: "Cependant, tout le monde dans l'espace de la crypto-monnaie n'est pas enthousiaste à l'idée que les primes de bogue et les négociations avec les pirates informatiques deviennent la norme. La plupart des hacks DeFi ne partent pas de primes de bogue légitimes. Au lieu d'être payé 100 000 $ ou 500 000 $, ils exigent souvent 50 % ou plus du montant total des fonds volés à titre de commission, ce qui s'apparente davantage à de l'extorsion.
Plante a également noté qu'à mesure que les forces de l'ordre s'améliorent dans le suivi des crypto-monnaies illicites, il devient plus difficile pour les pirates d'encaisser leurs gains. "Dans ce contexte, associé à une baisse collective des primes dans l'ensemble de l'industrie, les incitations pour les pirates à faire le travail changeront, espérons-le", a-t-elle déclaré.
Federico m'a répété à plusieurs reprises que son plan depuis le début était de restituer les fonds. Alors pourquoi cela lui a-t-il pris trois semaines ?
"Je veux avoir le temps de me protéger et de trouver des moyens d'être en sécurité, légalement et autrement", a-t-il déclaré.
Bien sûr, certaines des affirmations de Federico ne peuvent pas être vérifiées. Federico m'a dit que la conception et la mise en œuvre du protocole étaient entièrement son travail ("j'ai tout fait moi-même"), bien qu'il reçoive parfois des conseils d'un collègue, comme une liste de protocoles DeFi à rechercher (ce qui ressemble plus à masquer le l'implication d'autres personnes, car il n'y a aucun moyen de déterminer qui a écrit le code à partir des données en chaîne dont nous disposons.)
Nous ne saurons jamais non plus si Federico aurait gardé l'argent s'il avait mieux planifié l'attaque. Il m'a avoué qu'il regrettait de ne pas avoir pensé aux conséquences, mais a dit qu'il s'agissait simplement de faire ce qu'il fallait. "Je n'avais tout simplement pas suffisamment planifié et le montant était trop important pour moi", a-t-il déclaré.
Federico m'a dit qu'il regrettait la douleur qu'il a causée à l'équipe d'Euler. "Quand j'ai lu le tweet de Michael Bentley disant qu'il devait sacrifier du temps avec sa famille, ça m'a brisé le cœur", a-t-il déclaré. Quand je lui ai demandé s'il était préoccupé par les répercussions futures de l'attaque, il a rejeté ces inquiétudes. "Je suis convaincu que, légalement, l'équipe Euler ne pourra pas me retrouver rétroactivement, car cela empêcherait les futurs pirates de retourner des fonds."
Pour le plus grand plaisir (et presque l'incrédulité) des victimes, Euler Finance a commencé à verser des indemnités aux victimes de l'attaque le 12 avril. L'impact de la vulnérabilité s'est propagé à 11 autres protocoles DeFi. L'un d'eux (Yield Protocol) n'a repris que le 27 juin. Euler Finance est paralysé depuis le piratage.
Federico, toujours en Europe, a décrit sa situation personnelle comme "compliquée" mais a déclaré qu'il espérait retourner bientôt à Buenos Aires pour poursuivre ses études. "Ma vie n'a pas été aussi simple depuis le piratage d'Euler et cela m'a stressé."
J'ai demandé à Federico s'il pensait que Dieu, répondant apparemment à ses prières, lui donnait une leçon. "Je pense qu'il joue à un jeu avec moi ou qu'il (teste) moi", a-t-il répondu.
Federico n'a pas encore pris sa décision.