Хакер, укравший $600 млн в криптовалютах, оказался рыцарем в сверкающих доспехах

18.08.2021

Время чтения: 4 мин.

Через час после того, как мир обнаружил, что предполагаемый хакер скрылся с $600 млн, совершив одну из крупнейших краж в истории криптовалют, вор перевел свидетелю $42 000 за предупреждение о заморозке некоторых активов

Подобная щедрость стала лишь первым неожиданным шагом во время виртуального ограбления, которое напугало криптоиндустрию и заставило многих экспертов призадуматься.

Целью таинственного хакера стала малоизвестная компания Poly Network — проект в мире децентрализованных финансов (DeFi), который объединяет некоторые из наиболее широко используемых цифровых реестров. DeFi — самое перспективное направление мира цифровых активов. Разработчики создают автоматизированные сети, позволяющие физлицам и компаниям совершать транзакции без посредников, таких как банки и биржи, которые взимают плату за свои услуги.

На криптовалютном рынке все транзакции отражаются в цифровых реестрах. Криптоплатформа Poly использовала эту особенность подобно тому, как банк может предупредить власти о серийных номерах украденных купюр. Она призвала других участников сообщества «внести в черный список» украденные активы, что сильно осложнило бы их перемещение и повысило бы шансы на поимку хакера.

«Да придет спаситель»

Поскольку каналы для перевода такой крупной суммы были быстро перекрыты, хакер заявил, что совершил кражу не из корыстных целей, а ради развлечения. При этом он руководствовался благими намерениями, чтобы продемонстрировать уязвимости Poly.

«Я надеюсь, моя жизнь будет состоять из уникальных приключений, поэтому мне нравится учиться и совершать взломы, чтобы бороться с провидением» — написал хакер в сообщениях, которые можно посмотреть на блокчейне.

Хакер, личность которого пока не установлена, добавил, что проработка слабых мест в Poly Network стала бы одним из лучших моментов в его жизни.

Процитировав немецкого философа Мартина Хайдеггера, хакер затем стал изображать из себя поборника справедливости, вроде Бэтмена: «Я предпочитаю работать в темноте и спасать мир».

Некоторым примитивная философия, представляющая собой смесь высокой и массовой культуры, которая призвана оправдать кражу $600 млн, может показаться гротеском. У DeFi-рынка уже была репутация самого дикого представителя «Дикого Запада» в практически нерегулируемом криптовалютном мире. По данным Chainalysis, в прошлом году на DeFi приходилось всего 6% криптовалютной активности и при этом треть всех краж цифровых активов.

Но когда страсти улеглись, многие криптоэнтузиасты — сообщество, которое уже давно продвигает либертарианские идеалы — стали относиться к нему с бóльшим сочувствием. Они даже дали назвали его белым хакером из-за якобы «этичного» взлома.

«До сих пор мир слишком снисходительно относился к людям, внедряющим небезопасные системы, которые компании только контролируют, а не исправляют. Самое замечательное в сфере DeFi то, что она не оставляет подобное без внимания», — заявил Марк Миллер, технический директор компании Agoric, которая предоставляет программное обеспечение для DeFi-транзакций.

Он также добавил: «У нас есть экосистема, в которой ненадежные участники быстро погибают, и их место занимают те, кому удалось выжить в процессе».

Как стать знаменитым

Анонимный хакер прославился после обнаружения слабых мест в системах Poly.

Poly разработала компьютерный протокол, или набор правил, который позволяет пользователям передавать токены, привязанные к одному блокчейну, в другую сеть. Многие из наиболее используемых в мире блокчейнов, например, Binance Smart Chain и Ethereum, работают независимо друг от друга. Их монеты, предлагаемые пользователям в качестве вознаграждения, работают по отдельным технологиям.

Соответственно, инвесторы не могут с легкостью переместить токены на иной блокчейн, чтобы торговать на других площадках. Poly выступала в качестве связующего звена, однако «белый хакер» нашел ошибку, которая открыла прямой доступ к реестрам.

Примерно в 13.30 по лондонскому времени Poly сообщила в Twitter о краже нескольких тысяч токенов из своей сети. В ответ компания опубликовала уникальные буквенно-цифровые адреса кошельков, на которые были отправлены токены, чтобы другие участники криптосообщества могли идентифицировать и блокировать дальнейшие транзакции.

Биржи, включая Binance и OKEx, заявили, что следят за ситуацией. Оператор стейблкоинов Tether заявил, что заморозил токены на сумму около $33 млн. Когда криптобиржи начали перекрывать путь хакеру, дело приняло новый оборот.

Успешные переговоры

Пользователи блокчейна Ethereum могут заключать сделки и добавлять комментарии, чтобы их видел весь мир. Информатор хакера использовал эту функцию, чтобы предупредить его о блокировке активов. Другие люди начали отправлять хакеру токены с просьбой вернуть средства. Хотя в большинстве случаев сумма не превышала $1, некоторые из более чем 1300 транзакций включали токены на сотни долларов в надежде получить более существенную выплату.

Poly оставила сообщение на Ethereum, попросив хакера связаться с ними. Менее чем через час он ответил по тому же каналу. Взломщик и жертва стали общаться публично. Poly предложила награду в размере $500 000 за обнаружение ошибки и возврат активов.

«Мы надеемся, что этот случай запомнится как крупнейший этичный взлом в истории», — заявили в организации.

Компании удалось сыграть на тщеславии хакера. Он не сказал, что возьмет деньги, но на следующий день начал переводить небольшие суммы на общий счет. Подобно полицейскому-переговорщику в фильме, Poly призвала хакера продолжать в том же духе: «Вы все делаете правильно». К пятнице Poly заявила, что почти все средства были возвращены, и она готова взять активы под контроль, чтобы вернуть их владельцам.

«Взломав проект с благими намерениями, я на самом деле спас его», — написал хакер через Ethereum.

Уроки на будущее

Для некоторых этот эпизод стал важным уроком, показавшим несовершенство систем, особенно протоколов, которые соединяют блокчейны, как Poly.

«Блокчейн может обеспечить высокую безопасность, но только в собственном мире. В тот момент, когда ему нужно взаимодействовать с другими проектами за пределами блокчейна, могут появиться проблемы», — заявил Кевин Вербах, преподаватель Уортонской школы бизнеса при Пенсильванском университете.

По словам юристов, пока неясно, будут ли пользователи, чьи средства были похищены, подавать иск, и смогут ли они вообще это сделать. На сайте Poly нет информации об условиях использования и урегулировании вопросов с юридическим лицом.

В системах DeFi используются программные средства (смарт-контракты) для перевода криптовалют, что позволяет обойтись без посредников, однако при этом намного сложнее возложить ответственность на какую-либо из сторон. Некоторые разработчики утверждают, что правила, созданные программными средствами, формируют «законы» — понятие, которое оспаривают многие юристы.

Тем не менее, по мнению Чарли Стила, бывшего юриста американского правительства, а ныне партнера консалтинговой компании Forensic Risk Alliance, возможно, именно хакеры заставляют регулирующие органы пристально следить за деятельностью в сфере DeFi.