原文标题:《ВІН ВКРАВ 200 МІЛЬЙОНІВ ДОЛАРІВ. ВІН ПОВЕРНУВ ЦЕ. ТЕПЕР ВІН ГОТОВИЙ ПОЯСНИТИ ЧОМУ》
Автор оригіналу: Зак Абрамс, Монета
Збірка: BlockBeats
13 березня 2023 року лише за 18 хвилин хакер викрав криптовалюту на суму майже 200 мільйонів доларів із популярної кредитної платформи Euler Finance, що стало найбільшою крадіжкою року. Через три тижні він скасував угоду і повернув усе, що вкрав.
Вперше після злому керівник операції виступив, щоб пояснити своє ставлення до подій і стверджувати, що він взагалі не мав наміру зберігати гроші.
Coinage поспілкувався з чоловіком, який назвав себе хакером, молодим аргентинцем на ім’я Федеріко Хайме, що підтверджується іншими значними доказами. Це його історія.
Кредит зображення: Instagram @federicojaimeok
Було близько 3 години ночі прохолодної березневої ночі в Римі, і Федеріко стояв біля бару, чекаючи друзів і розмовляючи з Богом. 19-річний аргентинець шукав щось протягом останнього місяця, але так і не знайшов. Він дивувався чому.
«Боже, якщо всі мої проекти зроблені за один місяць, чому б і не цього разу?» — подумав він, дивлячись у небо. «Чому я не чую цього зараз, коли чув це раніше?» До повернення в готель залишалися години.
Коли він нарешті повернувся додому, то, як завжди, не міг заснути. Тому він вирішив піти на роботу.
Молитви Федеріко отримали відповідь майже миттєво, можливо, пророче. Він знайшов те, що шукав: помилку в коді програми кредитування криптовалюти. Він негайно взявся використовувати своє відкриття.
«Коли я працюю, я працюю як художник, як письменник», — пізніше сказав мені Федеріко по телефону англійською, його другою мовою. «Недосипання — це добре, щоб розбудити Музу».
Федеріко не міг заснути наступні два дні. Коли він нарешті прокидається на лікарняному ліжку в Італії, він коштує на 200 мільйонів доларів більше, але відчуває на собі прокляття.
Кредит зображення: Instagram @federicojaimeok
Світ криптовалюти покладається на прозорість. Кожна транзакція — надсилання грошей другові, купівля NFT, взяття позики — є публічною та незворотною. Програми, що працюють на блокчейні (називаються смарт-контрактами), також є загальнодоступними; будь-хто може перевірити код самостійно.
Оскільки інтерес до криптовалют різко зріс за останні кілька років, зросла й ціла індустрія децентралізованих фінансових додатків, що дозволяє інвесторам у криптовалюти обмінювати токени, отримувати кредити, робити ставки на зміну цін і заробляти відсотки. Близько 45 мільярдів доларів США в криптовалютах наразі вкладено в протоколи DeFi; восени 2021 року ця цифра перевищить 175 мільярдів доларів, що приблизно еквівалентно всій сумі депозитів, які зберігає Morgan Stanley.
DeFi пропонує захоплюючі фінансові інновації для ентузіастів криптовалюти відповідно до стрімкого розвитку та слабкого регулювання сфери криптовалют. Якщо ви хочете позичити 200 мільйонів доларів без застави або спекулювати на криптовалютах-мемах, таких як DOGE та PEPE, DeFi — єдиний шлях.
У той же час хакери розглядають DeFi як різноманітні цифрові банківські сховища, кожне з яких має загальнодоступний проект (код із відкритим кодом), фактично запрошуючи когось спробувати пограбувати. Протоколи DeFi стали основною мішенню для хакерів криптовалюти, які вкрали 2,2 мільярда доларів у DeFi у 2021 році та 3,1 мільярда доларів у 2022 році, що становить 80% усіх викрадених криптовалют того року, згідно з наведеною вище дослідницькою компанією криптовалюти Chainaanalysis.
Найуспішнішим зломом криптовалюти на сьогодні є Lazarus Group: 1,1 мільярда доларів із 1,7 мільярда доларів, вкрадених у Lazarus у 2022 році, походять від експлойтів DeFi.
На нескінченні атаки протоколи DeFi реагують, залучаючи охоронні фірми для перевірки смарт-контрактів, моніторингу загроз і навіть заманювання хакерів білих капелюхів (тобто хакерів, які позначають уразливості за винагороду, а не хакерів чорного капелюха, які ними користуються). . Крадіть подвиги для себе. Навіть ретельно перевірений протокол DeFi, який вживає всіх запобіжних заходів, все одно може стати жертвою потужного злому іноді лише 19-річним підлітком із Богом на боці.
Кредит зображення: Instagram @federicojaimeok
Цьому можна запобігти за допомогою одного рядка коду.
Повернувшись у готель, коли сонце зійшло над Римом, Федеріко почав працювати над протоколом кредитування DeFi під назвою Euler Finance, розробленим лондонським стартапом Euler Labs. Euler дозволяє своїм користувачам брати кредити на суму, що в десять разів перевищує вартість їхньої застави; вставте 10 000 доларів США, і ви зможете торгувати на 100 000 доларів. Але криптовалюти нестабільні, і якщо ціни рухаються в неправильному напрямку, депозитів користувачів може бути недостатньо для забезпечення викупу їх застави. Ось чому кожного разу, коли користувач взаємодіє з Euler, платформа перевіряє справність його облікового запису, і якщо показник справності стає занадто низьким, запускається автоматична ліквідація.
Але Федеріко побачив те, чого не було: відсутність перевірок працездатності однієї функції в одному розумному контракті Euler. Лише за кілька годин дослідження Федеріко знайшов те, що упустила команда Ейлера, а також кілька незалежних аудиторів смарт-контрактів.
"Це просто божественне натхнення. Це просто пробудження моєї музи", - сказав Федеріко. «Саме так, через місяць пошуків того, що я шукав... я це знайшов».
Федеріко починає планувати свій напад. 13 березня, після двох днів безперервного програмування, він був майже готовий до виконання. Єдина проблема: він не знає ні як розгорнути смарт-контракт, ні скільки це буде коштувати.
«Я шукав у гуглі «скільки коштує розгортання смарт-контракту?» і знайшов… статті про «від 5000 до 50 000 доларів», — сказав Федеріко, підвищуючи голос, щоб повторити його недовіру. "WTF"
Але Федеріко пішов вперед і зрештою дізнався, що фактичні витрати на розгортання контракту набагато нижчі. У цей момент, через кілька днів після того, як він востаннє спав, Федеріко сказав мені, що він взагалі не думає про гроші. "Я думаю, що це експеримент. Просто експеримент", - пояснив він. «Я не впевнений, що це спрацює... Я не впевнений, що зможу розгорнути розумний контракт. Я більше сумніваюся, ніж впевнений».
«Тож я справді недооцінив помилку та себе, тому що вона нарешті спрацювала», — додав він.
Вранці 13 березня 2023 року, о 9:54 за італійським часом, Федеріко сидить перед своїм комп’ютером. Протягом 18 хвилин три гаманці, які він використав для атаки на Euler Finance, викрали з протоколу криптовалюти на 197 мільйонів доларів. Усі кошти опинилися в одному гаманці — віртуальній речовій сумці, наповненій купами стодоларових купюр.
"Спочатку я подумав, що це так захоплююче. Я уклав величезну угоду, а потім подумав: вау, 200 мільйонів доларів. Це прокляття на моїй спині".
Федеріко все ще не міг заснути, тому консьєрж готелю викликав швидку допомогу.
Кредит зображення: Instagram @federicojaimeok
Першими аномалії виявляють боти, а деякі компанії з криптобезпеки забезпечують моніторинг загроз у реальному часі та сповіщення для проектів DeFi. У разі злому Euler принаймні дві охоронні фірми, Forta та Hypernative, були попереджені до початку атаки.
На жаль для Euler Labs, яка відмовилася коментувати цю статтю, автоматичне сповіщення надійшло за кілька хвилин до початку атаки, і для лондонського стартапу було занадто рано захистити протокол. («Зазвичай ми прогнозуємо атаку від хвилини до години», — сказав Алекс Беренс, менеджер з маркетингу Forta.)
У понеділок, 11 березня, о 8:59 ранку за британським часом компанія безпеки блокчейну PeckShield опублікувала в соціальних мережах «Привіт, @eulerfinance: можливо, ви захочете поглянути» та посилалася на сторінку, на якій показано, що гаманець зламав постачання Euler DAI Stablecoin, з викрадено понад 8,7 млн доларів США.
Тоді всі спостерігали, як Ейлера знову і знову б’ють. Хакер викрав 18,5 мільйонів доларів у WBTC, потім 116 мільйонів доларів у stETH... Зрештою хакер отримав прибуток у 197 мільйонів доларів, а весь резерв Ейлера з 6 токенів був знищений.
О 9:56 ранку Ойлер процитував ПекШилда в соціальних мережах: «Ми розуміємо, що наша команда зараз працює з професіоналами з безпеки та правоохоронними органами. Ми опублікуємо додаткову інформацію, щойно її отримаємо».
Оскільки це криптовалюта, кожен може побачити кошти в гаманці хакера. Переглянувши транзакції гаманця, експерти з безпеки змогли провести зворотний аналіз атаки, зрештою виявивши єдину вразливість, яка призвела до крадіжки. Але також через те, що це була криптовалюта, команда Ейлера не могла пов’язати гаманець із реальною особою або зрозуміти наміри хакера.
13 березня останнім актом хакерів було відправлення 100 ETH (вартістю на той час 168 000 доларів) через Tornado Cash, «гібридний» протокол транзакцій на Ethereum, який ускладнює відстеження коштів. Потім адреса гаманця мовчить.
Того вечора о 10:47 команда Euler надіслала повідомлення на гаманець хакера: «Ми розуміємо, що ви відповідальні за атаку сьогоднішнього ранку на платформу Euler. Ми пишемо, щоб дізнатися, чи хочете ви обговорити будь-які можливі наступні кроки з нами». Цей попередній зв’язок знаменує собою початок трьох важких тижнів для команди Euler.
Наступного дня о 21:22 команда Ейлера надіслала ще одне повідомлення на гаманець хакера, пропонуючи повернути 90% викрадених коштів протягом 24 годин, залишаючи хакеру фактичну винагороду за помилки в розмірі 20 мільйонів доларів. В іншому випадку Ойлер пропонує винагороду в 1 мільйон доларів кожному, хто надасть інформацію, яка призведе до арешту хакера.
Хакер не відповів.
15 березня об 11:20 ранку команда Euler надіслала ще одне повідомлення на гаманець хакера, повторюючи попередню пропозицію винагороди за помилку. «Тоді розслідування можна зупинити, і фокус може бути перенесений на розповсюдження його назад користувачам протоколу, не йдучи законним шляхом», — написала команда Ейлера.
О 22:06 після того, як хакери мовчали, команда Euler оголосила винагороду в 1 мільйон доларів за інформацію, яка призведе до арешту хакера та повернення коштів. Наступного дня співзасновник і генеральний директор Euler д-р Майкл Бентлі поділився своєю реакцією на атаку, назвавши попередні кілька днів найважчими в своєму житті та висловивши сум за постраждалими користувачами.
"Мені довелося пожертвувати часом зі своїм новонародженим сином", - написав Бентлі в Twitter. «Я ніколи не пробачу зловмисникам, але вони можуть виправити свої помилки та повернути кошти до казначейства EulerDAO якомога швидше».
Кредит зображення: Instagram @federicojaimeok
Федеріко Хайме стверджує, що ніколи не збирався залишати гроші. «З самого початку я знав, що 200 мільйонів доларів — це не мало, це завдасть величезної шкоди спільноті DeFi, і це зовсім не було моєю метою».
Ми всі хотіли б хоча б на мить знати, чи Федеріко коли-небудь замислювався, що можна купити за 200 мільйонів доларів, уявляючи, що він живе в особняку? На яхті?
«Ніколи, ні в якому разі, тому що я підприємець. Я можу заробляти гроші легально і бездоганно. Мені не потрібно красти. У мене немає причин брати чужі гроші».
Для більшості людей такий коментар був би не чим іншим, як закоченими очима. Зрештою, криптоспільнота не славиться своєю скромністю. Але я бачив фотографії Федеріко, який подорожував Європою, зупинявся в п’ятизіркових готелях і носив дизайнерський вуличний одяг. У наших розмовах по телефону та періодичних текстових повідомленнях я запитав Федеріко, якому в червні виповнюється 20 років, як він підтримує свій спосіб життя.
Федеріко виріс у Буенос-Айресі з батьками та молодшою сестрою. Натхненний своїм батьком-інженером-програмістом, він навчився програмувати у віці 12 років і продав свою першу програму, плагін для відеогри Minecraft, за 10 000 доларів у віці 14 років. «Це означає свободу, тому що мені більше не потрібно просити грошей у батьків, і вони мені аплодують».
Коли Федеріко виріс, він перейшов до нової гри, GTA V, де він розробив систему захисту від чітів для спеціального багатокористувацького сервера, яким керують затяті шанувальники гри. «Я знайшов помилку читання пам’яті. Я побачив, що ми можемо з цього отримати вигоду», — сказав Федеріко, додавши, що програмне забезпечення FiveGuard тепер належить комусь іншому. «Це особливо, тому що коли ви потрапляєте на ігровий сервер з якоюсь несправедливою перевагою, вас негайно блокують».
Спочатку Федеріко планував поїхати в Аргентину на юридичний факультет, але після закінчення навчання в 2020 році та боротьби з новою епідемією корони (у Буенос-Айресі багато місцевих обмежень і тривалий карантин), Федеріко, отримавши згоду батьків, він вирішив взяти тривалу відпустку перед коледжем.
На початку жовтня минулого року Федеріко вирушив до Риму. У грудні він нібито націлився на Buenbit, біржу криптовалют, що працює в Аргентині, Мексиці та Перу, і викрав сотні тисяч доларів. Генеральний директор Buenbit Федеріко Огу назвав атаку шахрайською. У звітах із посиланням на джерела в поліції вартість нападу склала 800 000 доларів, Федеріко заперечував цю цифру.
Федеріко не хотів коментувати деталі справи, і хоча він визнав, що мав на меті Буенбіта, він також стверджував, що багато цікавіших подробиць у повідомленнях ЗМІ були або оманливими, або відверто сфабрикованими. 20-річний хлопець наполягає на своїй невинуватості у цій справі, зазначивши, що він і його адвокат перебувають у контакті з командою Буенбіта, і він сподівається, що питання буде вирішено якомога швидше.
І лише через кілька місяців у Федеріко з'явилися нові турботи, цього разу 200 мільйонів.
![19-річний хакер Euler три тижні не міг подолати 200 мільйонів доларів вагань] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Кредит зображення: Instagram @federicojaimeok
На момент атаки у Euler Finance було близько 7000 користувачів. Через два дні, 15 березня, одна з жертв вирішила відправити повідомлення на гаманець хакера (гаманець Федеріко).
«Будь ласка, подумайте про повернення 90%/80%. Я користувач із лише 78 wstETH, і як користувач, який врятував свої заощадження в Ейлері, я не кит і не мільйонер». DL News підтвердив, що користувач є Аргентинець назвав Сантьяго Авалоса розробниками Blockchain, написав він. «Ви не можете уявити, в якому хаосі я зараз перебуваю, повністю спустошений... Ваше рішення стане полегшенням для багатьох постраждалих».
Заощадження Авалоса в розмірі 78 wstETH на той час коштували понад 140 000 доларів. Через тринадцять годин після того, як Авалос надіслав повідомлення, Федеріко відповів, але не через текстове повідомлення. Натомість Федеріко зробив свій перший хід після злому три дні тому, надіславши 100 ETH Авалосу, приблизно на 27 000 доларів більше, ніж жертва втратила в результаті краху Euler. Авалос переказав надлишок коштів назад Ейлеру, сказавши: «Я вважаю, що він був зворушений моїм повідомленням».
«Це жест мого серця», — сказав Федеріко про свою мотивацію повернути кошти. «Я був щедрим. Крім того, пізніше я дізнався, що цей хлопець... також був аргентинцем і розробником Solidity», — додав він. «Це справді дуже цікавий збіг».
Федеріко ще не завершив переказ коштів. У поєднанні з тим фактом, що він двічі надіслав собі загалом 1100 ETH через Tornado Cash, це привело його заробіток до майже 2 мільйонів доларів. Коли я запитав його, чому, Федеріко сказав мені: "Я не дуже про це думав. Я подумав, що якщо вони дадуть мені 10% винагороди, це занадто багато для мене. Я спробую взяти 1% від неї". »
Його наступний крок, безумовно, найбільш заплутаний. 17 березня, незадовго до 5 ранку, Федеріко знову надіслав 100 ETH, цього разу на горезвісний гаманець, який роком раніше здійснив один із найбільших хакерів криптовалюти в історії — з мосту Роніна вкрали понад 600 мільйонів доларів. Лише через місяць Управління з контролю за іноземними активами (OFAC) Міністерства фінансів США офіційно пов’язало вразливість Ronin Bridge з групою Lazarus.
Але коли я запитав його про це, його пояснення мене вразило. «Я поняття не мав, що це Північна Корея. Я ніколи цього не підозрював», — почав він. «Причиною, чому я надіслав 100 ETH експлуататорам Ronin, було чисте захоплення... Гадаю, я хотів висловити своє захоплення від хакерів білих капелюхів до хакерів чорних капелюхів».
Я був приголомшений, і Федеріко теж це побачив. «Я знаю, ти не очікував, що я скажу це, але це правда», — відповів він. «Я вважаю, що це найважливіша сфера в сучасному світі, і злом Роніна був інженерним актом. У цьому сенсі це гідно захоплення... Демони також можуть бути красивими жінками».
Наступного дня Федеріко почав повертати кошти, спочатку трьома частинами по 1000 ETH кожна, на загальну суму приблизно 5,4 мільйона доларів на той час. Потім його гаманець знову став бездіяльним. У той час аналітики скептично ставилися до того, що Euler зможе повернути кошти, що залишилися.
Але через два дні, 20 березня, Федеріко надіслав своє перше повідомлення команді Ейлера: «Ми хочемо полегшити роботу для всіх постраждалих. Жодних намірів зберігати речі, які нам не належать. Налаштуйте безпечний зв’язок. Давайте Давайте зробимо Угода."
Федеріко визнав, що новина була трохи запізнілою: «Я намагався вирішити, чи було б гарною ідеєю залишити собі 20 мільйонів доларів... тому що це те, що мені запропонував Ейлер», — сказав він. «Я був справді непідготовленим, недосвідченим і новачком... Я не спав днями, тижнями, але в кінці дня я знав, що повинен повернути це, і знав, що не хочу цього робити. будь-яка шкода базі користувачів Euler».
Проте Федеріко знадобився деякий час, щоб повернути кошти. 25 березня близько 15:00 вперше було помічено 81 953 ETH (приблизно 143 мільйони доларів). Потім 27 числа надійшло 10 мільйонів доларів DAI. О 3 годині ночі 28 числа Федеріко публічно вибачився, сказавши: «Я все облажався. Я не хотів цього, але я зіпсував чужі гроші, роботу інших людей, життя інших людей... будь ласка, вибачте мене». деякі кошти все ще були під його контролем.
Нарешті, 3 квітня команда Euler із захопленням оголосила, що після декількох останніх транзакцій хакера всі «кошти, які можна відновити», були повернуті. Ойлер також офіційно скасував винагороду в 1 мільйон доларів за голову Федеріко. Повернення коштів стало одним із найуспішніших відновлень в історії DeFi, і Федеріко відчув полегшення, що все закінчилося.
Потім, через два з половиною місяці, гаманець Федеріко знову став активним, надсилаючи повідомлення йому самому. Перший був 17 червня лише з двома словами: «Ben yre» — Буенос-Айрес. Через сімнадцять хвилин з гаманця прийшло ще одне повідомлення, також іспанською мовою, у якому стверджувалося, що він аргентинець, пероніст і хакер у білому капелюсі. Порада колегам-хакерам у повідомленні: «Не будьте дурними, не крадіть, заробіть нагороду».
У кінці повідомлення гаманець прив’язаний до облікового запису Instagram – @federicojaimeok. Я надіслав йому приватне повідомлення. Ми почали спілкуватися в Instagram, де архівуються історії Федеріко з вересня 2022 року, а потім ми спілкувалися в Telegram. Під час нашої розмови все, що мені сказав цей чоловік, збігалося з тим, що я дізнався про Федеріко з інших джерел. Федеріко також надав мені номер телефону свого батька, який підтвердив свою особу та зв’язок із Федеріко, а також надав мені іншу інформацію, яка збігалася з тим, що сказав мені Федеріко.
Федеріко сказав мені, що він вирішив з’явитися не заради себе, а заради спільноти DeFi. «Я хочу заохочувати етичне хакерство, це головна причина, і я хочу мати можливість мати право голосу і говорити людям робити правильні речі».
Федеріко також сподівається, що тактика Ейлера щодо переговорів із зловмисниками створить прецедент для інших частин DeFi. "Я впевнений, що сцена хакерства в децентралізованих фінансах зміниться після злому Ейлера. Я думаю, що це показує світові важливість аудиту та важливість переговорів після злому", - сказав він.
Ерін Плант, віце-президент із розслідувань у Chainalysis, сказала: «Не всі в криптовалютному просторі в захваті від винагороди за помилки та переговорів з хакерами, які стають нормою. Більшість зломів DeFi починаються не з законних винагород за помилки. Замість того, щоб отримати 100 000 доларів 500 000 доларів, вони часто вимагають 50% або більше від загальної суми вкрадених коштів як комісію, що більше схоже на вимагання».
Плант також зазначив, що оскільки правоохоронні органи стають кращими у відстеженні незаконних криптовалют, хакерам стає важче перевести свої виграші. «У цьому контексті, у поєднанні з колективним зниженням винагороди в галузі, ми сподіваємося, що стимули для хакерів виконувати роботу зміняться», — сказала вона.
Федеріко неодноразово наполягав мені, що його план із самого початку полягав у тому, щоб повернути кошти. Так чому ж йому знадобилося три тижні?
«Я хочу мати час, щоб захистити себе і знайти способи бути в безпеці, як юридично, так і іншим чином», — сказав він.
Звичайно, деякі твердження Федеріко неможливо перевірити. Федеріко сказав мені, що розробка та реалізація протоколу були виключно його роботою («Я все зробив сам»), хоча він час від часу отримує поради від колеги, наприклад список протоколів DeFi для дослідження (що більше схоже на маскування залучення інших, оскільки немає способу визначити, хто написав код за наявними у нас даними в мережі.)
Ми також ніколи не дізнаємося, чи зберіг би Федеріко гроші, якби краще спланував напад. Він зізнався мені, що шкодує, що не подумав про наслідки, але сказав, що це лише те, що він зробив правильну річ. «Я просто замало планував, і сума була занадто великою для мене», — сказав він.
Федеріко сказав мені, що він шкодує про біль, який завдав команді Ейлера. «Коли я прочитав твіт Майкла Бентлі про те, що йому довелося пожертвувати часом зі своєю сім’єю, це розбило моє серце», – сказав він. Коли я запитав його, чи він стурбований майбутніми наслідками нападу, він відкинув ці побоювання. «Я впевнений, що з юридичної точки зору команда Euler не зможе заднім числом відстежити мене, оскільки це завадить майбутнім хакерам повернути кошти».
На радість (і майже недовіру) жертв, Euler Finance почала виплачувати компенсації жертвам нападу 12 квітня. Вплив уразливості поширився на 11 інших протоколів DeFi. Один із них (протокол урожайності) не відновився до 27 червня. Euler Finance постраждав після злому.
Федеріко, який все ще перебуває в Європі, описав свою особисту ситуацію як "складну", але сказав, що сподівається незабаром повернутися до Буенос-Айреса, щоб продовжити навчання. «Моє життя не було таким легким після злому Ейлера, і це залишило мене в стресі».
Я запитав Федеріко, чи вважає він, що Бог, нібито відповідаючи на його молитви, дає йому урок. «Я думаю, що він або грає зі мною, або (тестує) мене», — відповів він.
Федеріко ще не вирішив.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Зіштовхнувшись з 200 мільйонами доларів вагань протягом трьох тижнів, 19-річний хакер Euler не може подолати свою совість
原文标题:《ВІН ВКРАВ 200 МІЛЬЙОНІВ ДОЛАРІВ. ВІН ПОВЕРНУВ ЦЕ. ТЕПЕР ВІН ГОТОВИЙ ПОЯСНИТИ ЧОМУ》
Автор оригіналу: Зак Абрамс, Монета
Збірка: BlockBeats
13 березня 2023 року лише за 18 хвилин хакер викрав криптовалюту на суму майже 200 мільйонів доларів із популярної кредитної платформи Euler Finance, що стало найбільшою крадіжкою року. Через три тижні він скасував угоду і повернув усе, що вкрав.
Вперше після злому керівник операції виступив, щоб пояснити своє ставлення до подій і стверджувати, що він взагалі не мав наміру зберігати гроші.
Coinage поспілкувався з чоловіком, який назвав себе хакером, молодим аргентинцем на ім’я Федеріко Хайме, що підтверджується іншими значними доказами. Це його історія.
Кредит зображення: Instagram @federicojaimeok
Було близько 3 години ночі прохолодної березневої ночі в Римі, і Федеріко стояв біля бару, чекаючи друзів і розмовляючи з Богом. 19-річний аргентинець шукав щось протягом останнього місяця, але так і не знайшов. Він дивувався чому.
«Боже, якщо всі мої проекти зроблені за один місяць, чому б і не цього разу?» — подумав він, дивлячись у небо. «Чому я не чую цього зараз, коли чув це раніше?» До повернення в готель залишалися години.
Коли він нарешті повернувся додому, то, як завжди, не міг заснути. Тому він вирішив піти на роботу.
Молитви Федеріко отримали відповідь майже миттєво, можливо, пророче. Він знайшов те, що шукав: помилку в коді програми кредитування криптовалюти. Він негайно взявся використовувати своє відкриття.
«Коли я працюю, я працюю як художник, як письменник», — пізніше сказав мені Федеріко по телефону англійською, його другою мовою. «Недосипання — це добре, щоб розбудити Музу».
Федеріко не міг заснути наступні два дні. Коли він нарешті прокидається на лікарняному ліжку в Італії, він коштує на 200 мільйонів доларів більше, але відчуває на собі прокляття.
Кредит зображення: Instagram @federicojaimeok
Світ криптовалюти покладається на прозорість. Кожна транзакція — надсилання грошей другові, купівля NFT, взяття позики — є публічною та незворотною. Програми, що працюють на блокчейні (називаються смарт-контрактами), також є загальнодоступними; будь-хто може перевірити код самостійно.
Оскільки інтерес до криптовалют різко зріс за останні кілька років, зросла й ціла індустрія децентралізованих фінансових додатків, що дозволяє інвесторам у криптовалюти обмінювати токени, отримувати кредити, робити ставки на зміну цін і заробляти відсотки. Близько 45 мільярдів доларів США в криптовалютах наразі вкладено в протоколи DeFi; восени 2021 року ця цифра перевищить 175 мільярдів доларів, що приблизно еквівалентно всій сумі депозитів, які зберігає Morgan Stanley.
DeFi пропонує захоплюючі фінансові інновації для ентузіастів криптовалюти відповідно до стрімкого розвитку та слабкого регулювання сфери криптовалют. Якщо ви хочете позичити 200 мільйонів доларів без застави або спекулювати на криптовалютах-мемах, таких як DOGE та PEPE, DeFi — єдиний шлях.
У той же час хакери розглядають DeFi як різноманітні цифрові банківські сховища, кожне з яких має загальнодоступний проект (код із відкритим кодом), фактично запрошуючи когось спробувати пограбувати. Протоколи DeFi стали основною мішенню для хакерів криптовалюти, які вкрали 2,2 мільярда доларів у DeFi у 2021 році та 3,1 мільярда доларів у 2022 році, що становить 80% усіх викрадених криптовалют того року, згідно з наведеною вище дослідницькою компанією криптовалюти Chainaanalysis.
Найуспішнішим зломом криптовалюти на сьогодні є Lazarus Group: 1,1 мільярда доларів із 1,7 мільярда доларів, вкрадених у Lazarus у 2022 році, походять від експлойтів DeFi.
На нескінченні атаки протоколи DeFi реагують, залучаючи охоронні фірми для перевірки смарт-контрактів, моніторингу загроз і навіть заманювання хакерів білих капелюхів (тобто хакерів, які позначають уразливості за винагороду, а не хакерів чорного капелюха, які ними користуються). . Крадіть подвиги для себе. Навіть ретельно перевірений протокол DeFi, який вживає всіх запобіжних заходів, все одно може стати жертвою потужного злому іноді лише 19-річним підлітком із Богом на боці.
Кредит зображення: Instagram @federicojaimeok
Цьому можна запобігти за допомогою одного рядка коду.
Повернувшись у готель, коли сонце зійшло над Римом, Федеріко почав працювати над протоколом кредитування DeFi під назвою Euler Finance, розробленим лондонським стартапом Euler Labs. Euler дозволяє своїм користувачам брати кредити на суму, що в десять разів перевищує вартість їхньої застави; вставте 10 000 доларів США, і ви зможете торгувати на 100 000 доларів. Але криптовалюти нестабільні, і якщо ціни рухаються в неправильному напрямку, депозитів користувачів може бути недостатньо для забезпечення викупу їх застави. Ось чому кожного разу, коли користувач взаємодіє з Euler, платформа перевіряє справність його облікового запису, і якщо показник справності стає занадто низьким, запускається автоматична ліквідація.
Але Федеріко побачив те, чого не було: відсутність перевірок працездатності однієї функції в одному розумному контракті Euler. Лише за кілька годин дослідження Федеріко знайшов те, що упустила команда Ейлера, а також кілька незалежних аудиторів смарт-контрактів.
"Це просто божественне натхнення. Це просто пробудження моєї музи", - сказав Федеріко. «Саме так, через місяць пошуків того, що я шукав... я це знайшов».
Федеріко починає планувати свій напад. 13 березня, після двох днів безперервного програмування, він був майже готовий до виконання. Єдина проблема: він не знає ні як розгорнути смарт-контракт, ні скільки це буде коштувати.
«Я шукав у гуглі «скільки коштує розгортання смарт-контракту?» і знайшов… статті про «від 5000 до 50 000 доларів», — сказав Федеріко, підвищуючи голос, щоб повторити його недовіру. "WTF"
Але Федеріко пішов вперед і зрештою дізнався, що фактичні витрати на розгортання контракту набагато нижчі. У цей момент, через кілька днів після того, як він востаннє спав, Федеріко сказав мені, що він взагалі не думає про гроші. "Я думаю, що це експеримент. Просто експеримент", - пояснив він. «Я не впевнений, що це спрацює... Я не впевнений, що зможу розгорнути розумний контракт. Я більше сумніваюся, ніж впевнений».
«Тож я справді недооцінив помилку та себе, тому що вона нарешті спрацювала», — додав він.
Вранці 13 березня 2023 року, о 9:54 за італійським часом, Федеріко сидить перед своїм комп’ютером. Протягом 18 хвилин три гаманці, які він використав для атаки на Euler Finance, викрали з протоколу криптовалюти на 197 мільйонів доларів. Усі кошти опинилися в одному гаманці — віртуальній речовій сумці, наповненій купами стодоларових купюр.
"Спочатку я подумав, що це так захоплююче. Я уклав величезну угоду, а потім подумав: вау, 200 мільйонів доларів. Це прокляття на моїй спині".
Федеріко все ще не міг заснути, тому консьєрж готелю викликав швидку допомогу.
Кредит зображення: Instagram @federicojaimeok
Першими аномалії виявляють боти, а деякі компанії з криптобезпеки забезпечують моніторинг загроз у реальному часі та сповіщення для проектів DeFi. У разі злому Euler принаймні дві охоронні фірми, Forta та Hypernative, були попереджені до початку атаки.
На жаль для Euler Labs, яка відмовилася коментувати цю статтю, автоматичне сповіщення надійшло за кілька хвилин до початку атаки, і для лондонського стартапу було занадто рано захистити протокол. («Зазвичай ми прогнозуємо атаку від хвилини до години», — сказав Алекс Беренс, менеджер з маркетингу Forta.)
У понеділок, 11 березня, о 8:59 ранку за британським часом компанія безпеки блокчейну PeckShield опублікувала в соціальних мережах «Привіт, @eulerfinance: можливо, ви захочете поглянути» та посилалася на сторінку, на якій показано, що гаманець зламав постачання Euler DAI Stablecoin, з викрадено понад 8,7 млн доларів США.
Тоді всі спостерігали, як Ейлера знову і знову б’ють. Хакер викрав 18,5 мільйонів доларів у WBTC, потім 116 мільйонів доларів у stETH... Зрештою хакер отримав прибуток у 197 мільйонів доларів, а весь резерв Ейлера з 6 токенів був знищений.
О 9:56 ранку Ойлер процитував ПекШилда в соціальних мережах: «Ми розуміємо, що наша команда зараз працює з професіоналами з безпеки та правоохоронними органами. Ми опублікуємо додаткову інформацію, щойно її отримаємо».
Оскільки це криптовалюта, кожен може побачити кошти в гаманці хакера. Переглянувши транзакції гаманця, експерти з безпеки змогли провести зворотний аналіз атаки, зрештою виявивши єдину вразливість, яка призвела до крадіжки. Але також через те, що це була криптовалюта, команда Ейлера не могла пов’язати гаманець із реальною особою або зрозуміти наміри хакера.
13 березня останнім актом хакерів було відправлення 100 ETH (вартістю на той час 168 000 доларів) через Tornado Cash, «гібридний» протокол транзакцій на Ethereum, який ускладнює відстеження коштів. Потім адреса гаманця мовчить.
Того вечора о 10:47 команда Euler надіслала повідомлення на гаманець хакера: «Ми розуміємо, що ви відповідальні за атаку сьогоднішнього ранку на платформу Euler. Ми пишемо, щоб дізнатися, чи хочете ви обговорити будь-які можливі наступні кроки з нами». Цей попередній зв’язок знаменує собою початок трьох важких тижнів для команди Euler.
Наступного дня о 21:22 команда Ейлера надіслала ще одне повідомлення на гаманець хакера, пропонуючи повернути 90% викрадених коштів протягом 24 годин, залишаючи хакеру фактичну винагороду за помилки в розмірі 20 мільйонів доларів. В іншому випадку Ойлер пропонує винагороду в 1 мільйон доларів кожному, хто надасть інформацію, яка призведе до арешту хакера.
Хакер не відповів.
15 березня об 11:20 ранку команда Euler надіслала ще одне повідомлення на гаманець хакера, повторюючи попередню пропозицію винагороди за помилку. «Тоді розслідування можна зупинити, і фокус може бути перенесений на розповсюдження його назад користувачам протоколу, не йдучи законним шляхом», — написала команда Ейлера.
О 22:06 після того, як хакери мовчали, команда Euler оголосила винагороду в 1 мільйон доларів за інформацію, яка призведе до арешту хакера та повернення коштів. Наступного дня співзасновник і генеральний директор Euler д-р Майкл Бентлі поділився своєю реакцією на атаку, назвавши попередні кілька днів найважчими в своєму житті та висловивши сум за постраждалими користувачами.
"Мені довелося пожертвувати часом зі своїм новонародженим сином", - написав Бентлі в Twitter. «Я ніколи не пробачу зловмисникам, але вони можуть виправити свої помилки та повернути кошти до казначейства EulerDAO якомога швидше».
Кредит зображення: Instagram @federicojaimeok
Федеріко Хайме стверджує, що ніколи не збирався залишати гроші. «З самого початку я знав, що 200 мільйонів доларів — це не мало, це завдасть величезної шкоди спільноті DeFi, і це зовсім не було моєю метою».
Ми всі хотіли б хоча б на мить знати, чи Федеріко коли-небудь замислювався, що можна купити за 200 мільйонів доларів, уявляючи, що він живе в особняку? На яхті?
«Ніколи, ні в якому разі, тому що я підприємець. Я можу заробляти гроші легально і бездоганно. Мені не потрібно красти. У мене немає причин брати чужі гроші».
Для більшості людей такий коментар був би не чим іншим, як закоченими очима. Зрештою, криптоспільнота не славиться своєю скромністю. Але я бачив фотографії Федеріко, який подорожував Європою, зупинявся в п’ятизіркових готелях і носив дизайнерський вуличний одяг. У наших розмовах по телефону та періодичних текстових повідомленнях я запитав Федеріко, якому в червні виповнюється 20 років, як він підтримує свій спосіб життя.
Федеріко виріс у Буенос-Айресі з батьками та молодшою сестрою. Натхненний своїм батьком-інженером-програмістом, він навчився програмувати у віці 12 років і продав свою першу програму, плагін для відеогри Minecraft, за 10 000 доларів у віці 14 років. «Це означає свободу, тому що мені більше не потрібно просити грошей у батьків, і вони мені аплодують».
Коли Федеріко виріс, він перейшов до нової гри, GTA V, де він розробив систему захисту від чітів для спеціального багатокористувацького сервера, яким керують затяті шанувальники гри. «Я знайшов помилку читання пам’яті. Я побачив, що ми можемо з цього отримати вигоду», — сказав Федеріко, додавши, що програмне забезпечення FiveGuard тепер належить комусь іншому. «Це особливо, тому що коли ви потрапляєте на ігровий сервер з якоюсь несправедливою перевагою, вас негайно блокують».
Спочатку Федеріко планував поїхати в Аргентину на юридичний факультет, але після закінчення навчання в 2020 році та боротьби з новою епідемією корони (у Буенос-Айресі багато місцевих обмежень і тривалий карантин), Федеріко, отримавши згоду батьків, він вирішив взяти тривалу відпустку перед коледжем.
На початку жовтня минулого року Федеріко вирушив до Риму. У грудні він нібито націлився на Buenbit, біржу криптовалют, що працює в Аргентині, Мексиці та Перу, і викрав сотні тисяч доларів. Генеральний директор Buenbit Федеріко Огу назвав атаку шахрайською. У звітах із посиланням на джерела в поліції вартість нападу склала 800 000 доларів, Федеріко заперечував цю цифру.
Федеріко не хотів коментувати деталі справи, і хоча він визнав, що мав на меті Буенбіта, він також стверджував, що багато цікавіших подробиць у повідомленнях ЗМІ були або оманливими, або відверто сфабрикованими. 20-річний хлопець наполягає на своїй невинуватості у цій справі, зазначивши, що він і його адвокат перебувають у контакті з командою Буенбіта, і він сподівається, що питання буде вирішено якомога швидше.
І лише через кілька місяців у Федеріко з'явилися нові турботи, цього разу 200 мільйонів.
![19-річний хакер Euler три тижні не міг подолати 200 мільйонів доларів вагань] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Кредит зображення: Instagram @federicojaimeok
На момент атаки у Euler Finance було близько 7000 користувачів. Через два дні, 15 березня, одна з жертв вирішила відправити повідомлення на гаманець хакера (гаманець Федеріко).
«Будь ласка, подумайте про повернення 90%/80%. Я користувач із лише 78 wstETH, і як користувач, який врятував свої заощадження в Ейлері, я не кит і не мільйонер». DL News підтвердив, що користувач є Аргентинець назвав Сантьяго Авалоса розробниками Blockchain, написав він. «Ви не можете уявити, в якому хаосі я зараз перебуваю, повністю спустошений... Ваше рішення стане полегшенням для багатьох постраждалих».
Заощадження Авалоса в розмірі 78 wstETH на той час коштували понад 140 000 доларів. Через тринадцять годин після того, як Авалос надіслав повідомлення, Федеріко відповів, але не через текстове повідомлення. Натомість Федеріко зробив свій перший хід після злому три дні тому, надіславши 100 ETH Авалосу, приблизно на 27 000 доларів більше, ніж жертва втратила в результаті краху Euler. Авалос переказав надлишок коштів назад Ейлеру, сказавши: «Я вважаю, що він був зворушений моїм повідомленням».
«Це жест мого серця», — сказав Федеріко про свою мотивацію повернути кошти. «Я був щедрим. Крім того, пізніше я дізнався, що цей хлопець... також був аргентинцем і розробником Solidity», — додав він. «Це справді дуже цікавий збіг».
Федеріко ще не завершив переказ коштів. У поєднанні з тим фактом, що він двічі надіслав собі загалом 1100 ETH через Tornado Cash, це привело його заробіток до майже 2 мільйонів доларів. Коли я запитав його, чому, Федеріко сказав мені: "Я не дуже про це думав. Я подумав, що якщо вони дадуть мені 10% винагороди, це занадто багато для мене. Я спробую взяти 1% від неї". »
Його наступний крок, безумовно, найбільш заплутаний. 17 березня, незадовго до 5 ранку, Федеріко знову надіслав 100 ETH, цього разу на горезвісний гаманець, який роком раніше здійснив один із найбільших хакерів криптовалюти в історії — з мосту Роніна вкрали понад 600 мільйонів доларів. Лише через місяць Управління з контролю за іноземними активами (OFAC) Міністерства фінансів США офіційно пов’язало вразливість Ronin Bridge з групою Lazarus.
Але коли я запитав його про це, його пояснення мене вразило. «Я поняття не мав, що це Північна Корея. Я ніколи цього не підозрював», — почав він. «Причиною, чому я надіслав 100 ETH експлуататорам Ronin, було чисте захоплення... Гадаю, я хотів висловити своє захоплення від хакерів білих капелюхів до хакерів чорних капелюхів».
Я був приголомшений, і Федеріко теж це побачив. «Я знаю, ти не очікував, що я скажу це, але це правда», — відповів він. «Я вважаю, що це найважливіша сфера в сучасному світі, і злом Роніна був інженерним актом. У цьому сенсі це гідно захоплення... Демони також можуть бути красивими жінками».
Наступного дня Федеріко почав повертати кошти, спочатку трьома частинами по 1000 ETH кожна, на загальну суму приблизно 5,4 мільйона доларів на той час. Потім його гаманець знову став бездіяльним. У той час аналітики скептично ставилися до того, що Euler зможе повернути кошти, що залишилися.
Але через два дні, 20 березня, Федеріко надіслав своє перше повідомлення команді Ейлера: «Ми хочемо полегшити роботу для всіх постраждалих. Жодних намірів зберігати речі, які нам не належать. Налаштуйте безпечний зв’язок. Давайте Давайте зробимо Угода."
Федеріко визнав, що новина була трохи запізнілою: «Я намагався вирішити, чи було б гарною ідеєю залишити собі 20 мільйонів доларів... тому що це те, що мені запропонував Ейлер», — сказав він. «Я був справді непідготовленим, недосвідченим і новачком... Я не спав днями, тижнями, але в кінці дня я знав, що повинен повернути це, і знав, що не хочу цього робити. будь-яка шкода базі користувачів Euler».
Проте Федеріко знадобився деякий час, щоб повернути кошти. 25 березня близько 15:00 вперше було помічено 81 953 ETH (приблизно 143 мільйони доларів). Потім 27 числа надійшло 10 мільйонів доларів DAI. О 3 годині ночі 28 числа Федеріко публічно вибачився, сказавши: «Я все облажався. Я не хотів цього, але я зіпсував чужі гроші, роботу інших людей, життя інших людей... будь ласка, вибачте мене». деякі кошти все ще були під його контролем.
Нарешті, 3 квітня команда Euler із захопленням оголосила, що після декількох останніх транзакцій хакера всі «кошти, які можна відновити», були повернуті. Ойлер також офіційно скасував винагороду в 1 мільйон доларів за голову Федеріко. Повернення коштів стало одним із найуспішніших відновлень в історії DeFi, і Федеріко відчув полегшення, що все закінчилося.
Потім, через два з половиною місяці, гаманець Федеріко знову став активним, надсилаючи повідомлення йому самому. Перший був 17 червня лише з двома словами: «Ben yre» — Буенос-Айрес. Через сімнадцять хвилин з гаманця прийшло ще одне повідомлення, також іспанською мовою, у якому стверджувалося, що він аргентинець, пероніст і хакер у білому капелюсі. Порада колегам-хакерам у повідомленні: «Не будьте дурними, не крадіть, заробіть нагороду».
У кінці повідомлення гаманець прив’язаний до облікового запису Instagram – @federicojaimeok. Я надіслав йому приватне повідомлення. Ми почали спілкуватися в Instagram, де архівуються історії Федеріко з вересня 2022 року, а потім ми спілкувалися в Telegram. Під час нашої розмови все, що мені сказав цей чоловік, збігалося з тим, що я дізнався про Федеріко з інших джерел. Федеріко також надав мені номер телефону свого батька, який підтвердив свою особу та зв’язок із Федеріко, а також надав мені іншу інформацію, яка збігалася з тим, що сказав мені Федеріко.
Федеріко сказав мені, що він вирішив з’явитися не заради себе, а заради спільноти DeFi. «Я хочу заохочувати етичне хакерство, це головна причина, і я хочу мати можливість мати право голосу і говорити людям робити правильні речі».
Федеріко також сподівається, що тактика Ейлера щодо переговорів із зловмисниками створить прецедент для інших частин DeFi. "Я впевнений, що сцена хакерства в децентралізованих фінансах зміниться після злому Ейлера. Я думаю, що це показує світові важливість аудиту та важливість переговорів після злому", - сказав він.
Ерін Плант, віце-президент із розслідувань у Chainalysis, сказала: «Не всі в криптовалютному просторі в захваті від винагороди за помилки та переговорів з хакерами, які стають нормою. Більшість зломів DeFi починаються не з законних винагород за помилки. Замість того, щоб отримати 100 000 доларів 500 000 доларів, вони часто вимагають 50% або більше від загальної суми вкрадених коштів як комісію, що більше схоже на вимагання».
Плант також зазначив, що оскільки правоохоронні органи стають кращими у відстеженні незаконних криптовалют, хакерам стає важче перевести свої виграші. «У цьому контексті, у поєднанні з колективним зниженням винагороди в галузі, ми сподіваємося, що стимули для хакерів виконувати роботу зміняться», — сказала вона.
Федеріко неодноразово наполягав мені, що його план із самого початку полягав у тому, щоб повернути кошти. Так чому ж йому знадобилося три тижні?
«Я хочу мати час, щоб захистити себе і знайти способи бути в безпеці, як юридично, так і іншим чином», — сказав він.
Звичайно, деякі твердження Федеріко неможливо перевірити. Федеріко сказав мені, що розробка та реалізація протоколу були виключно його роботою («Я все зробив сам»), хоча він час від часу отримує поради від колеги, наприклад список протоколів DeFi для дослідження (що більше схоже на маскування залучення інших, оскільки немає способу визначити, хто написав код за наявними у нас даними в мережі.)
Ми також ніколи не дізнаємося, чи зберіг би Федеріко гроші, якби краще спланував напад. Він зізнався мені, що шкодує, що не подумав про наслідки, але сказав, що це лише те, що він зробив правильну річ. «Я просто замало планував, і сума була занадто великою для мене», — сказав він.
Федеріко сказав мені, що він шкодує про біль, який завдав команді Ейлера. «Коли я прочитав твіт Майкла Бентлі про те, що йому довелося пожертвувати часом зі своєю сім’єю, це розбило моє серце», – сказав він. Коли я запитав його, чи він стурбований майбутніми наслідками нападу, він відкинув ці побоювання. «Я впевнений, що з юридичної точки зору команда Euler не зможе заднім числом відстежити мене, оскільки це завадить майбутнім хакерам повернути кошти».
На радість (і майже недовіру) жертв, Euler Finance почала виплачувати компенсації жертвам нападу 12 квітня. Вплив уразливості поширився на 11 інших протоколів DeFi. Один із них (протокол урожайності) не відновився до 27 червня. Euler Finance постраждав після злому.
Федеріко, який все ще перебуває в Європі, описав свою особисту ситуацію як "складну", але сказав, що сподівається незабаром повернутися до Буенос-Айреса, щоб продовжити навчання. «Моє життя не було таким легким після злому Ейлера, і це залишило мене в стресі».
Я запитав Федеріко, чи вважає він, що Бог, нібито відповідаючи на його молитви, дає йому урок. «Я думаю, що він або грає зі мною, або (тестує) мене», — відповів він.
Федеріко ще не вирішив.