原文标题:《DIA MENCURI $200 JUTA. DIA MEMBERINYA KEMBALI. SEKARANG, DIA SIAP MENJELASKAN MENGAPA》
Penulis Asli: Zack Abrams, Coinage
Kompilasi: BlockBeats
Pada 13 Maret 2023, hanya dalam 18 menit, seorang peretas mencuri mata uang kripto senilai hampir $200 juta dari Euler Finance, platform pinjaman populer, dalam pencurian terbesar tahun ini. Setelah hanya tiga minggu, dia membatalkan kesepakatan dan mengembalikan semua yang telah dia curi.
Untuk pertama kalinya sejak peretasan, kepala operasi maju untuk menjelaskan pendapatnya tentang peristiwa dan mengklaim bahwa dia sama sekali tidak berniat menyimpan uang itu.
Coinage berbicara kepada pria yang mengaku sebagai peretas, seorang pemuda Argentina bernama Federico Jaime, klaim yang didukung oleh bukti penting lainnya. Ini kisahnya.
Kredit gambar: Instagram @federicojaimeok
Saat itu sekitar pukul 3 pagi pada malam bulan Maret yang sejuk di Roma, dan Federico berdiri di luar bar, menunggu teman dan berbicara dengan Tuhan. Pemain Argentina berusia 19 tahun itu telah mencari sesuatu selama sebulan terakhir dan dia belum menemukannya. Dia bertanya-tanya mengapa.
“Astaga, jika semua proyekku selesai dalam satu bulan, kenapa kali ini tidak?” pikirnya sambil menatap langit. “Kenapa aku tidak bisa mendengarnya sekarang, ketika aku mendengarnya sebelumnya?” Dia masih beberapa jam lagi untuk kembali ke hotel.
Ketika dia akhirnya sampai di rumah, dia tidak bisa tidur, seperti biasanya. Jadi, dia memutuskan untuk pergi bekerja.
Doa Federico segera dijawab, mungkin secara nubuatan. Dia menemukan apa yang dia cari: bug dalam kode program peminjaman mata uang kripto. Dia segera mulai mengeksploitasi penemuannya.
“Saat saya bekerja, saya bekerja seperti seniman, seperti penulis,” Federico kemudian memberi tahu saya melalui telepon dalam bahasa Inggris, bahasa keduanya. "Kurang tidur adalah hal yang baik untuk membangunkan Muse."
Federico tidak bisa tidur selama dua hari berikutnya. Ketika dia akhirnya terbangun di ranjang rumah sakit di Italia, dia bernilai $200 juta lebih, tetapi dia merasakan kutukan di punggungnya.
Kredit gambar: Instagram @federicojaimeok
Dunia cryptocurrency bergantung pada transparansi. Setiap transaksi — mengirim uang ke teman, membeli NFT, mengambil pinjaman — bersifat publik dan tidak dapat dibatalkan. Aplikasi yang berjalan di blockchain (disebut smart contract) juga bersifat publik; siapa pun dapat memeriksa kodenya sendiri.
Karena minat terhadap mata uang kripto telah meledak selama beberapa tahun terakhir, begitu pula seluruh industri aplikasi keuangan terdesentralisasi, yang memungkinkan investor mata uang kripto untuk bertukar token, mendapatkan pinjaman, mengambil taruhan dengan leverage pada pergerakan harga, dan mendapatkan bunga. Sekitar $45 miliar dalam cryptocurrency saat ini berkomitmen untuk protokol DeFi; pada musim gugur 2021, jumlah ini akan melebihi $175 miliar, kira-kira setara dengan seluruh jumlah simpanan yang dipegang oleh Morgan Stanley.
DeFi memberikan inovasi keuangan yang menarik bagi para penggemar mata uang kripto, sejalan dengan perkembangan pesat dan regulasi yang longgar di bidang mata uang kripto. Jika Anda ingin meminjam $200 juta tanpa agunan, atau berspekulasi tentang cryptocurrency "meme" seperti DOGE dan PEPE, DeFi adalah satu-satunya cara.
Pada saat yang sama, peretas melihat DeFi sebagai berbagai brankas bank digital, masing-masing dengan cetak biru publik (kode sumber terbuka), yang secara efektif mengundang seseorang untuk mencoba dan merampok. Protokol DeFi telah menjadi target utama peretas mata uang kripto, yang mencuri $2,2 miliar dari DeFi pada tahun 2021 dan $3,1 miliar pada tahun 2022, terhitung 80% dari semua mata uang kripto yang dicuri tahun itu, menurut perusahaan riset mata uang kripto, Chainanaalysis di atas.
Peretasan cryptocurrency paling sukses hingga saat ini adalah Grup Lazarus, dengan $1,1 miliar dari $1,7 miliar yang dicuri dari Lazarus pada tahun 2022 berasal dari eksploitasi DeFi.
Dalam menghadapi serangan tanpa henti, protokol DeFi merespons dengan merekrut firma keamanan untuk mengaudit kontrak pintar, memantau ancaman, dan bahkan memikat peretas topi putih (yaitu, peretas yang menandai kerentanan untuk mendapatkan hadiah, daripada peretas topi hitam yang mengeksploitasinya) . Mencuri eksploitasi untuk diri sendiri. Bahkan protokol DeFi yang sangat teruji yang mengambil setiap tindakan pencegahan masih bisa menjadi korban peretasan yang kuat yang kadang-kadang hanya berusia 19 tahun dengan Tuhan di sisinya.
Kredit gambar: Instagram @federicojaimeok
Ini semua dapat dicegah dengan satu baris kode.
Kembali ke hotel, saat matahari terbit di atas Roma, Federico mulai mengerjakan protokol peminjaman DeFi yang disebut Euler Finance, yang dikembangkan oleh startup London Euler Labs. Euler mengizinkan penggunanya untuk mengambil pinjaman hingga sepuluh kali lipat dari nilai agunan yang mereka setorkan; masukkan $10.000 dan Anda dapat berdagang seperti $100.000. Tetapi cryptocurrency tidak stabil, dan jika harga bergerak ke arah yang salah, simpanan pengguna mungkin tidak cukup untuk mengamankan penebusan agunan mereka. Inilah sebabnya mengapa setiap kali pengguna berinteraksi dengan Euler, platform memeriksa kesehatan akun mereka dan jika skor kesehatan terlalu rendah, likuidasi otomatis dipicu.
Tetapi Federico melihat sesuatu yang tidak ada: kurangnya pemeriksaan kesehatan untuk satu fungsi dalam satu kontrak pintar Euler. Hanya dalam beberapa jam penelitian, Federico menemukan apa yang telah dilewatkan oleh tim Euler, serta beberapa auditor kontrak cerdas independen.
"Itu hanya inspirasi ilahi. Itu hanya membangkitkan inspirasi saya," kata Federico. "Tepat sekali, setelah sebulan mencari apa yang saya cari...saya menemukannya."
Federico mulai merencanakan serangannya. Pada 13 Maret, setelah dua hari memprogram tanpa henti, dia hampir siap untuk mengeksekusi. Satu-satunya masalah: dia tidak tahu cara menggunakan kontrak pintar, atau berapa biayanya.
"Saya sedang googling, 'berapa biaya untuk menerapkan kontrak pintar?' dan saya menemukan ... artikel yang mengatakan 'dari $5.000 hingga $50.000,'" kata Federico, meninggikan suaranya untuk menyuarakan ketidakpercayaannya. "WTF"
Tetapi Federico melanjutkan dan akhirnya mengetahui bahwa biaya penerapan kontrak yang sebenarnya jauh lebih rendah. Pada titik ini, beberapa hari setelah terakhir kali dia tidur, Federico mengatakan kepada saya bahwa dia sama sekali tidak memikirkan uang. "Saya kira itu eksperimen. Eksperimen saja," jelasnya. "Saya tidak yakin ini akan berhasil... Saya tidak yakin dapat menerapkan kontrak pintar. Saya lebih ragu daripada yakin."
"Jadi saya sangat meremehkan bug dan diri saya sendiri karena akhirnya berhasil," tambahnya.
Pada pagi hari tanggal 13 Maret 2023, pukul 09.54 waktu Italia, Federico sedang duduk di depan komputernya. Selama 18 menit, tiga dompet yang dia gunakan untuk meluncurkan serangan terhadap Euler Finance mencuri cryptocurrency senilai $197 juta dari protokol. Dana itu berakhir dalam satu dompet — tas ransel virtual berisi tumpukan uang seratus dolar.
"Pertama, saya pikir, ini sangat mengasyikkan. Saya memecahkan banyak hal, dan kemudian saya berpikir, wow, $200 juta. Ini adalah kutukan di punggung saya."
Masih belum bisa tidur, Federico meminta petugas hotel memanggil ambulans.
![Peretas Euler berusia 19 tahun tidak dapat melewati keraguan 200 juta dolar selama tiga minggu] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Kredit gambar: Instagram @federicojaimeok
Yang pertama menemukan anomali adalah bot, dan beberapa perusahaan keamanan crypto menyediakan pemantauan dan peringatan ancaman waktu nyata untuk proyek DeFi. Dalam kasus peretasan Euler, setidaknya dua firma keamanan, Forta dan Hypernative, telah diperingatkan sebelum serangan dimulai.
Sayangnya untuk Euler Labs, yang menolak berkomentar untuk artikel ini, peringatan otomatis datang beberapa menit sebelum serangan dimulai, sehingga terlalu dini bagi startup yang berbasis di London untuk mengamankan protokol. ("Kami biasanya memprediksi serangan antara satu menit dan satu jam," kata Alex Behrens, manajer pemasaran Forta.)
Pada pukul 08:59 waktu Inggris pada hari Senin, 11 Maret, perusahaan keamanan blockchain PeckShield memposting di media sosial "Hai @eulerfinance: Anda mungkin ingin melihatnya" dan menautkan ke halaman yang menunjukkan bahwa dompet telah meretas suplai DAI Stablecoin Euler, dengan lebih dari $8,7 juta dana dicuri.
Kemudian, semua orang menyaksikan Euler dipukul lagi dan lagi. Peretas mencuri $18,5 juta di WBTC, lalu $116 juta di stETH... Pada akhirnya, peretas mendapat untung sebesar $197 juta, dan seluruh cadangan 6 token Euler musnah.
Pada pukul 9:56 pagi, Euler mengutip PeckShield di media sosial yang mengatakan: "Kami memahami bahwa tim kami saat ini sedang bekerja dengan profesional keamanan dan penegak hukum. Kami akan merilis informasi lebih lanjut segera setelah kami memilikinya."
Karena ini adalah cryptocurrency, semua orang dapat melihat dana di dompet peretas. Dengan melihat transaksi dompet, pakar keamanan dapat merekayasa balik serangan tersebut, yang pada akhirnya mengungkap satu kerentanan yang menyebabkan pencurian. Tetapi juga karena itu cryptocurrency, tim Euler tidak memiliki cara untuk menghubungkan dompet ke identitas kehidupan nyata, atau memahami niat peretas.
Pada 13 Maret, tindakan terakhir para peretas adalah mengirim 100 ETH (senilai $168.000 pada saat itu) melalui Tornado Cash, sebuah protokol transaksi "hybrid" di Ethereum yang membuat dana lebih sulit dilacak. Kemudian, alamat dompet diam.
Pada pukul 10:47 malam itu, tim Euler mengirim pesan ke dompet peretas yang mengatakan: "Kami memahami bahwa Anda bertanggung jawab atas serangan pagi ini di platform Euler. Kami menulis untuk mengetahui apakah Anda ingin mendiskusikan kemungkinan langkah selanjutnya bersama kami." Komunikasi tentatif ini menandai awal dari tiga minggu yang sulit bagi tim Euler.
Keesokan harinya pada pukul 21:22, tim Euler mengirim pesan lain ke dompet peretas, menawarkan untuk mengembalikan 90% dana yang dicuri dalam waktu 24 jam—membiarkan peretas menyimpan hadiah bug de facto $20 juta. Jika tidak, Euler menawarkan hadiah $1 juta kepada siapa saja yang memberikan informasi yang mengarah pada penangkapan peretas.
Peretas tidak menanggapi.
Pada 15 Maret pukul 11:20, tim Euler mengirim pesan lain ke dompet peretas, mengulangi tawaran bug bounty sebelumnya. “Penyelidikan kemudian dapat dihentikan dan fokus dapat dialihkan untuk mendistribusikannya kembali ke pengguna protokol tanpa menempuh jalur hukum,” tulis tim Euler.
Pada pukul 22:06, setelah para peretas tetap diam, tim Euler mengumumkan hadiah $1 juta untuk informasi yang mengarah pada penangkapan peretas dan pemulihan dana. Keesokan harinya, salah satu pendiri dan CEO Euler Dr. Michael Bentley membagikan tanggapannya terhadap serangan tersebut, menyebut beberapa hari sebelumnya sebagai hari tersulit dalam hidupnya dan mengungkapkan kesedihannya bagi pengguna yang terkena dampak.
"Saya harus mengorbankan waktu dengan putra saya yang baru lahir," cuit Bentley. “Saya tidak akan pernah memaafkan penyerang, tetapi mereka dapat memperbaiki kesalahan mereka dan mengembalikan dana ke Departemen Keuangan EulerDAO sesegera mungkin.”
Kredit gambar: Instagram @federicojaimeok
Federico Jaime mengklaim dia tidak pernah bermaksud menyimpan uang itu. “Saya tahu sejak awal bahwa $200 juta bukanlah jumlah yang kecil, itu akan menyebabkan kerusakan besar pada komunitas DeFi, dan itu sama sekali bukan tujuan saya.”
Kami semua ingin tahu, bahkan untuk sesaat, jika Federico pernah bertanya-tanya apa yang bisa dibeli dengan $200 juta, membayangkan dirinya tinggal di rumah besar? Di kapal pesiar?
"Tidak pernah, tidak sama sekali, karena saya seorang pengusaha. Saya bisa menghasilkan uang secara legal dan tanpa cacat. Saya tidak perlu mencuri. Saya tidak punya alasan untuk mengambil uang orang lain."
Bagi kebanyakan orang, komentar seperti itu tidak lebih dari memutar mata. Lagi pula, komunitas crypto tidak dikenal karena kerendahan hatinya. Tapi saya pernah melihat foto-foto Federico berkeliling Eropa, menginap di hotel bintang lima, dan mengenakan streetwear desainer. Dalam percakapan kami melalui telepon dan sesekali SMS, saya bertanya kepada Federico, yang akan berusia 20 tahun pada bulan Juni, bagaimana dia mempertahankan gaya hidupnya.
Federico dibesarkan di Buenos Aires bersama orang tua dan adik perempuannya. Terinspirasi oleh ayah insinyur perangkat lunaknya, dia belajar memprogram pada usia 12 tahun dan menjual program pertamanya, sebuah plugin untuk video game Minecraft, seharga $10.000 pada usia 14 tahun. "Itu berarti kebebasan karena saya tidak lagi harus meminta uang kepada orang tua saya dan mereka memuji saya."
Ketika dia dewasa, Federico pindah ke game baru, GTA V, di mana dia mengembangkan sistem anti-cheat untuk server multipemain khusus yang dijalankan oleh penggemar berat game tersebut. "Saya menemukan bug pembacaan memori. Saya melihat bahwa kami dapat memperoleh keuntungan darinya," kata Federico, menambahkan bahwa perangkat lunak, FiveGuard, sekarang dimiliki oleh orang lain. "Ini istimewa karena ketika Anda masuk ke server game dengan keuntungan yang tidak adil, Anda langsung diblokir."
Federico awalnya berencana untuk pergi ke sekolah hukum di Argentina, tetapi setelah lulus pada tahun 2020 dan berurusan dengan epidemi mahkota baru (ada banyak pembatasan lokal dan masa karantina yang lama di Buenos Aires), Federico, setelah mendapat persetujuan dari orang tuanya, dia memutuskan untuk mengambil cuti panjang sebelum kuliah.
Pada awal Oktober tahun lalu, Federico melakukan perjalanan ke Roma. Pada bulan Desember, dia diduga menargetkan Buenbit, pertukaran cryptocurrency yang beroperasi di Argentina, Meksiko, dan Peru, dan mencuri ratusan ribu dolar. CEO Buenbit Federico Ogue mencirikan serangan itu sebagai penipuan. Laporan berita yang mengutip sumber polisi menyebutkan biaya serangan itu $800.000, angka yang dibantah Federico.
Federico tidak akan mengomentari secara spesifik kasus tersebut, dan meskipun dia mengakui bahwa dia menargetkan Buenbit, dia juga mengklaim bahwa banyak detail yang lebih menarik dalam laporan media menyesatkan atau dibuat-buat. Pria berusia 20 tahun itu mempertahankan ketidakbersalahannya dalam kasus tersebut, mencatat bahwa dia dan pengacaranya telah menghubungi tim Buenbit dan dia berharap masalah tersebut akan diselesaikan secepat mungkin.
Dan, hanya beberapa bulan kemudian, Federico memiliki kekhawatiran baru, kali ini 200 juta.
![Peretas Euler berusia 19 tahun tidak dapat melewati keraguan 200 juta dolar selama tiga minggu] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Kredit gambar: Instagram @federicojaimeok
Pada saat penyerangan, Euler Finance memiliki sebanyak 7.000 pengguna. Dua hari kemudian, pada 15 Maret, salah satu korban memutuskan untuk mengirimkan pesan ke dompet peretas (dompet Federico).
"Mohon pertimbangkan untuk mengembalikan 90%/80%. Saya adalah pengguna dengan hanya 78 wstETH, dan sebagai pengguna yang telah menyelamatkan tabungan hidup saya di Euler, saya bukan paus atau jutawan." DL News mengonfirmasi bahwa pengguna tersebut adalah seorang Argentina bernama pengembang Blockchain Santiago Avalos, tulisnya. "Anda tidak dapat membayangkan kekacauan yang saya alami sekarang, benar-benar hancur... Keputusan Anda akan melegakan banyak orang yang terkena dampak."
Penghematan hidup Avalos sebesar 78 wstETH bernilai lebih dari $140.000 pada saat itu. Tiga belas jam setelah Avalos mengirimkan pesan tersebut, Federico membalas, tetapi tidak melalui pesan teks. Sebaliknya, Federico melakukan langkah pertamanya sejak peretasan tiga hari lalu, mengirimkan 100 ETH ke Avalos, sekitar $27.000 lebih banyak daripada korban yang hilang dalam kecelakaan Euler. Avalos mentransfer kelebihan dana kembali ke Euler, dengan mengatakan, "Saya yakin dia mungkin tergerak oleh pesan saya."
“Ini adalah isyarat dari hati saya,” kata Federico tentang motivasinya untuk mengembalikan dana tersebut. "Saya bermurah hati. Selain itu, saya kemudian mengetahui bahwa orang ini... juga orang Argentina dan pengembang Solidity," tambahnya. "Benar-benar kebetulan yang sangat menarik."
Federico belum menyelesaikan transfer dana. Dikombinasikan dengan fakta bahwa dia telah mengirim dirinya sendiri total 1.100 ETH melalui Tornado Cash dua kali, ini membuat penghasilannya menjadi hampir $2 juta. Ketika saya bertanya mengapa, Federico mengatakan kepada saya: "Saya tidak terlalu memikirkannya. Saya pikir, jika mereka memberi saya 10% dari hadiah, itu terlalu banyak untuk saya. Saya akan mencoba mengambil 1% darinya. ”
Langkah selanjutnya adalah yang paling membingungkan. Pada 17 Maret, tepat sebelum jam 5 pagi, Federico mengirim 100 ETH lagi, kali ini ke dompet terkenal yang telah melakukan salah satu peretasan cryptocurrency terbesar dalam sejarah setahun sebelumnya - dari Jembatan Ronin mencuri lebih dari $600 juta. Hanya satu bulan kemudian, Office of Foreign Assets and Control (OFAC) Departemen Keuangan AS secara resmi menghubungkan kerentanan Jembatan Ronin dengan kelompok Lazarus.
Namun ketika saya bertanya kepadanya tentang hal itu, penjelasannya mengejutkan saya. "Saya tidak tahu ini Korea Utara. Saya tidak pernah menduganya," dia memulai. “Alasan saya mengirimkan 100 ETH ke para pengeksploitasi Ronin adalah kekaguman murni… Saya kira, dari peretas topi putih hingga peretas topi hitam, saya ingin mengungkapkan kekaguman saya.”
Saya tertegun dan Federico juga melihatnya. "Aku tahu kamu tidak mengharapkan aku mengatakan itu, tapi itu benar," jawabnya. "Saya pikir ini adalah area paling penting di dunia saat ini, dan peretasan Ronin adalah tindakan rekayasa. Dalam hal itu, mengagumkan... Setan juga bisa menjadi wanita cantik."
Keesokan harinya, Federico mulai mengembalikan dana, awalnya dalam tiga angsuran masing-masing 1.000 ETH, dengan total sekitar $5,4 juta pada saat itu. Kemudian, dompetnya tidak aktif lagi. Analis pada saat itu skeptis bahwa Euler akan dapat memulihkan dana yang tersisa.
Namun dua hari kemudian, pada 20 Maret, Federico mengirim pesan pertamanya ke tim Euler: "Kami ingin memudahkan semua orang yang terkena dampak. Tidak ada niat untuk menyimpan barang-barang yang bukan milik kami. Atur komunikasi yang aman. Mari kita buat kesepakatan."
Federico mengakui berita itu agak terlambat: "Saya sedang mencoba untuk memutuskan apakah menyimpan $20 juta untuk diri saya sendiri adalah ide yang bagus... karena itulah yang ditawarkan Euler kepada saya," katanya. "Saya benar-benar tidak siap, tidak berpengalaman, dan baru... Saya tidak tidur selama berhari-hari, berminggu-minggu, tetapi pada akhirnya, saya tahu saya harus mengembalikannya, dan saya tahu saya tidak ingin melakukannya. kerusakan apa pun pada basis pengguna Euler."
Tetap saja, Federico butuh beberapa saat untuk mengembalikan dana tersebut. Pada tanggal 25 Maret sekitar pukul 15.00, 81.953 ETH (sekitar $143 juta) pertama kali terlihat. Kemudian pada tanggal 27, $10 juta dalam bentuk DAI mengikuti. Pada pukul 3 pagi pada tanggal 28, Federico secara terbuka meminta maaf, mengatakan, "Saya mengacau. Saya tidak mau, tetapi saya mengacaukan uang orang lain, pekerjaan orang lain, kehidupan orang lain... tolong maafkan saya." sebagian dana masih berada di bawah kendalinya.
Akhirnya, pada tanggal 3 April, tim Euler dengan gembira mengumumkan bahwa setelah beberapa transaksi terakhir peretas, semua "dana yang dapat dipulihkan" telah dikembalikan. Euler juga secara resmi mencabut hadiah $1 juta untuk kepala Federico. Pengembalian dana menandai salah satu pemulihan paling sukses dalam sejarah DeFi, dan Federico merasa lega karena semuanya telah berakhir.
Kemudian, dua setengah bulan kemudian, dompet Federico aktif kembali, mengirim pesan ke dirinya sendiri. Yang pertama pada tanggal 17 Juni, hanya dengan dua kata: "Ben yre" - Buenos Aires. Tujuh belas menit kemudian, pesan lain datang dari dompet, juga dalam bahasa Spanyol, yang mengaku sebagai hacker Argentina, Peronis, dan white hat. Nasihat pesan itu kepada sesama peretas: "Jangan bodoh, jangan mencuri, dapatkan hadiahnya."
Di akhir pesan, dompet tersebut ditautkan ke akun Instagram - @federicojaimeok. Saya mengiriminya pesan pribadi. Kami mulai berbicara di Instagram, tempat cerita Federico diarsipkan sejak September 2022, lalu kami berbicara di Telegram. Selama percakapan kami, semua yang dikatakan pria ini cocok dengan apa yang telah saya pelajari tentang Federico dari sumber lain. Federico juga memberi saya nomor telepon ayahnya, yang mengonfirmasi identitas dan hubungannya dengan Federico, dan memberi saya informasi lain yang cocok dengan apa yang dikatakan Federico kepada saya.
Federico memberi tahu saya bahwa dia memutuskan untuk muncul bukan untuk keuntungannya sendiri, tetapi untuk kepentingan komunitas DeFi. "Saya ingin mendorong peretasan etis, itulah alasan utamanya, dan saya ingin memiliki suara dan memberi tahu orang untuk melakukan hal yang benar."
Federico juga berharap bahwa taktik negosiasi Euler dengan penyerang akan menjadi preseden untuk diikuti oleh bagian DeFi lainnya. "Saya yakin adegan peretasan dalam keuangan terdesentralisasi akan berbeda setelah peretasan Euler. Saya pikir ini menunjukkan kepada dunia pentingnya audit, dan pentingnya negosiasi setelah peretasan," katanya.
Erin Plante, wakil presiden investigasi di Chainalysis, berkata: "Namun, tidak semua orang di ruang cryptocurrency antusias dengan bounty bug dan negosiasi peretas. Sebagian besar peretasan DeFi tidak dimulai dari bounty bug yang sah. Alih-alih dibayar $100.000 atau $500.000, mereka sering menuntut 50% atau lebih dari jumlah total dana yang dicuri sebagai komisi, yang lebih mirip pemerasan.”
Plante juga mencatat bahwa ketika lembaga penegak hukum menjadi lebih baik dalam melacak cryptocurrency ilegal, semakin sulit bagi peretas untuk mencairkan kemenangan mereka. "Dalam konteks ini, ditambah dengan penurunan hadiah kolektif di seluruh industri, insentif bagi peretas untuk melakukan pekerjaan diharapkan akan berubah," katanya.
Federico berulang kali menegaskan kepada saya bahwa rencananya sejak awal adalah mengembalikan dana. Jadi mengapa dia membutuhkan waktu tiga minggu?
"Saya ingin memiliki waktu untuk melindungi diri sendiri dan mencari cara untuk aman, secara legal dan sebaliknya," katanya.
Tentu saja, beberapa klaim Federico tidak dapat diverifikasi. Federico memberi tahu saya bahwa desain dan implementasi protokol sepenuhnya adalah pekerjaannya ("Saya melakukan semuanya sendiri"), meskipun terkadang dia mendapat saran dari seorang kolega, seperti daftar protokol DeFi untuk diteliti (yang lebih seperti menutupi keterlibatan orang lain, karena tidak ada cara untuk menentukan siapa yang menulis kode dari data on-chain yang kita miliki.)
Kami juga tidak akan pernah tahu apakah Federico akan menyimpan uangnya seandainya dia merencanakan serangan itu dengan lebih baik. Dia mengaku kepada saya bahwa dia menyesal tidak memikirkan konsekuensinya, tetapi mengatakan itu hanya tentang melakukan hal yang benar. "Saya hanya tidak cukup merencanakan dan jumlahnya terlalu besar untuk saya tangani," katanya.
Federico mengatakan kepada saya bahwa dia menyesali rasa sakit yang dia timbulkan pada tim Euler. "Ketika saya membaca tweet Michael Bentley yang mengatakan dia harus mengorbankan waktu bersama keluarganya, itu membuat saya sedih," katanya. Ketika saya bertanya kepadanya apakah dia khawatir tentang dampak serangan di masa depan, dia menepis kekhawatiran itu. “Saya yakin, secara hukum, tim Euler tidak akan dapat melacak saya kembali secara retroaktif, karena hal ini akan mencegah peretas di masa mendatang untuk mengembalikan dana.”
Untuk menyenangkan (dan hampir tidak percaya) para korban, Euler Finance mulai membayar kompensasi untuk menyerang para korban pada 12 April. Dampak kerentanan telah menyebar ke 11 protokol DeFi lainnya. Salah satunya (Protokol Hasil) tidak dilanjutkan hingga 27 Juni. Euler Finance lumpuh sejak peretasan.
Federico, yang masih di Eropa, menggambarkan situasi pribadinya sebagai "rumit" tetapi mengatakan dia berharap untuk segera kembali ke Buenos Aires untuk melanjutkan studinya. "Hidupku tidak semudah itu sejak peretasan Euler dan itu membuatku stres."
Saya bertanya kepada Federico apakah menurutnya Tuhan, yang tampaknya menjawab doanya, sedang memberinya pelajaran. "Saya pikir dia sedang bermain-main dengan saya atau (menguji) saya," jawabnya.
Federico belum mengambil keputusan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Dihadapkan dengan keraguan 200 juta dolar selama tiga minggu, peretas Euler berusia 19 tahun tidak dapat melupakan hati nuraninya
原文标题:《DIA MENCURI $200 JUTA. DIA MEMBERINYA KEMBALI. SEKARANG, DIA SIAP MENJELASKAN MENGAPA》
Penulis Asli: Zack Abrams, Coinage
Kompilasi: BlockBeats
Pada 13 Maret 2023, hanya dalam 18 menit, seorang peretas mencuri mata uang kripto senilai hampir $200 juta dari Euler Finance, platform pinjaman populer, dalam pencurian terbesar tahun ini. Setelah hanya tiga minggu, dia membatalkan kesepakatan dan mengembalikan semua yang telah dia curi.
Untuk pertama kalinya sejak peretasan, kepala operasi maju untuk menjelaskan pendapatnya tentang peristiwa dan mengklaim bahwa dia sama sekali tidak berniat menyimpan uang itu.
Coinage berbicara kepada pria yang mengaku sebagai peretas, seorang pemuda Argentina bernama Federico Jaime, klaim yang didukung oleh bukti penting lainnya. Ini kisahnya.
Kredit gambar: Instagram @federicojaimeok
Saat itu sekitar pukul 3 pagi pada malam bulan Maret yang sejuk di Roma, dan Federico berdiri di luar bar, menunggu teman dan berbicara dengan Tuhan. Pemain Argentina berusia 19 tahun itu telah mencari sesuatu selama sebulan terakhir dan dia belum menemukannya. Dia bertanya-tanya mengapa.
“Astaga, jika semua proyekku selesai dalam satu bulan, kenapa kali ini tidak?” pikirnya sambil menatap langit. “Kenapa aku tidak bisa mendengarnya sekarang, ketika aku mendengarnya sebelumnya?” Dia masih beberapa jam lagi untuk kembali ke hotel.
Ketika dia akhirnya sampai di rumah, dia tidak bisa tidur, seperti biasanya. Jadi, dia memutuskan untuk pergi bekerja.
Doa Federico segera dijawab, mungkin secara nubuatan. Dia menemukan apa yang dia cari: bug dalam kode program peminjaman mata uang kripto. Dia segera mulai mengeksploitasi penemuannya.
“Saat saya bekerja, saya bekerja seperti seniman, seperti penulis,” Federico kemudian memberi tahu saya melalui telepon dalam bahasa Inggris, bahasa keduanya. "Kurang tidur adalah hal yang baik untuk membangunkan Muse."
Federico tidak bisa tidur selama dua hari berikutnya. Ketika dia akhirnya terbangun di ranjang rumah sakit di Italia, dia bernilai $200 juta lebih, tetapi dia merasakan kutukan di punggungnya.
Kredit gambar: Instagram @federicojaimeok
Dunia cryptocurrency bergantung pada transparansi. Setiap transaksi — mengirim uang ke teman, membeli NFT, mengambil pinjaman — bersifat publik dan tidak dapat dibatalkan. Aplikasi yang berjalan di blockchain (disebut smart contract) juga bersifat publik; siapa pun dapat memeriksa kodenya sendiri.
Karena minat terhadap mata uang kripto telah meledak selama beberapa tahun terakhir, begitu pula seluruh industri aplikasi keuangan terdesentralisasi, yang memungkinkan investor mata uang kripto untuk bertukar token, mendapatkan pinjaman, mengambil taruhan dengan leverage pada pergerakan harga, dan mendapatkan bunga. Sekitar $45 miliar dalam cryptocurrency saat ini berkomitmen untuk protokol DeFi; pada musim gugur 2021, jumlah ini akan melebihi $175 miliar, kira-kira setara dengan seluruh jumlah simpanan yang dipegang oleh Morgan Stanley.
DeFi memberikan inovasi keuangan yang menarik bagi para penggemar mata uang kripto, sejalan dengan perkembangan pesat dan regulasi yang longgar di bidang mata uang kripto. Jika Anda ingin meminjam $200 juta tanpa agunan, atau berspekulasi tentang cryptocurrency "meme" seperti DOGE dan PEPE, DeFi adalah satu-satunya cara.
Pada saat yang sama, peretas melihat DeFi sebagai berbagai brankas bank digital, masing-masing dengan cetak biru publik (kode sumber terbuka), yang secara efektif mengundang seseorang untuk mencoba dan merampok. Protokol DeFi telah menjadi target utama peretas mata uang kripto, yang mencuri $2,2 miliar dari DeFi pada tahun 2021 dan $3,1 miliar pada tahun 2022, terhitung 80% dari semua mata uang kripto yang dicuri tahun itu, menurut perusahaan riset mata uang kripto, Chainanaalysis di atas.
Peretasan cryptocurrency paling sukses hingga saat ini adalah Grup Lazarus, dengan $1,1 miliar dari $1,7 miliar yang dicuri dari Lazarus pada tahun 2022 berasal dari eksploitasi DeFi.
Dalam menghadapi serangan tanpa henti, protokol DeFi merespons dengan merekrut firma keamanan untuk mengaudit kontrak pintar, memantau ancaman, dan bahkan memikat peretas topi putih (yaitu, peretas yang menandai kerentanan untuk mendapatkan hadiah, daripada peretas topi hitam yang mengeksploitasinya) . Mencuri eksploitasi untuk diri sendiri. Bahkan protokol DeFi yang sangat teruji yang mengambil setiap tindakan pencegahan masih bisa menjadi korban peretasan yang kuat yang kadang-kadang hanya berusia 19 tahun dengan Tuhan di sisinya.
Kredit gambar: Instagram @federicojaimeok
Ini semua dapat dicegah dengan satu baris kode.
Kembali ke hotel, saat matahari terbit di atas Roma, Federico mulai mengerjakan protokol peminjaman DeFi yang disebut Euler Finance, yang dikembangkan oleh startup London Euler Labs. Euler mengizinkan penggunanya untuk mengambil pinjaman hingga sepuluh kali lipat dari nilai agunan yang mereka setorkan; masukkan $10.000 dan Anda dapat berdagang seperti $100.000. Tetapi cryptocurrency tidak stabil, dan jika harga bergerak ke arah yang salah, simpanan pengguna mungkin tidak cukup untuk mengamankan penebusan agunan mereka. Inilah sebabnya mengapa setiap kali pengguna berinteraksi dengan Euler, platform memeriksa kesehatan akun mereka dan jika skor kesehatan terlalu rendah, likuidasi otomatis dipicu.
Tetapi Federico melihat sesuatu yang tidak ada: kurangnya pemeriksaan kesehatan untuk satu fungsi dalam satu kontrak pintar Euler. Hanya dalam beberapa jam penelitian, Federico menemukan apa yang telah dilewatkan oleh tim Euler, serta beberapa auditor kontrak cerdas independen.
"Itu hanya inspirasi ilahi. Itu hanya membangkitkan inspirasi saya," kata Federico. "Tepat sekali, setelah sebulan mencari apa yang saya cari...saya menemukannya."
Federico mulai merencanakan serangannya. Pada 13 Maret, setelah dua hari memprogram tanpa henti, dia hampir siap untuk mengeksekusi. Satu-satunya masalah: dia tidak tahu cara menggunakan kontrak pintar, atau berapa biayanya.
"Saya sedang googling, 'berapa biaya untuk menerapkan kontrak pintar?' dan saya menemukan ... artikel yang mengatakan 'dari $5.000 hingga $50.000,'" kata Federico, meninggikan suaranya untuk menyuarakan ketidakpercayaannya. "WTF"
Tetapi Federico melanjutkan dan akhirnya mengetahui bahwa biaya penerapan kontrak yang sebenarnya jauh lebih rendah. Pada titik ini, beberapa hari setelah terakhir kali dia tidur, Federico mengatakan kepada saya bahwa dia sama sekali tidak memikirkan uang. "Saya kira itu eksperimen. Eksperimen saja," jelasnya. "Saya tidak yakin ini akan berhasil... Saya tidak yakin dapat menerapkan kontrak pintar. Saya lebih ragu daripada yakin."
"Jadi saya sangat meremehkan bug dan diri saya sendiri karena akhirnya berhasil," tambahnya.
Pada pagi hari tanggal 13 Maret 2023, pukul 09.54 waktu Italia, Federico sedang duduk di depan komputernya. Selama 18 menit, tiga dompet yang dia gunakan untuk meluncurkan serangan terhadap Euler Finance mencuri cryptocurrency senilai $197 juta dari protokol. Dana itu berakhir dalam satu dompet — tas ransel virtual berisi tumpukan uang seratus dolar.
"Pertama, saya pikir, ini sangat mengasyikkan. Saya memecahkan banyak hal, dan kemudian saya berpikir, wow, $200 juta. Ini adalah kutukan di punggung saya."
Masih belum bisa tidur, Federico meminta petugas hotel memanggil ambulans.
![Peretas Euler berusia 19 tahun tidak dapat melewati keraguan 200 juta dolar selama tiga minggu] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Kredit gambar: Instagram @federicojaimeok
Yang pertama menemukan anomali adalah bot, dan beberapa perusahaan keamanan crypto menyediakan pemantauan dan peringatan ancaman waktu nyata untuk proyek DeFi. Dalam kasus peretasan Euler, setidaknya dua firma keamanan, Forta dan Hypernative, telah diperingatkan sebelum serangan dimulai.
Sayangnya untuk Euler Labs, yang menolak berkomentar untuk artikel ini, peringatan otomatis datang beberapa menit sebelum serangan dimulai, sehingga terlalu dini bagi startup yang berbasis di London untuk mengamankan protokol. ("Kami biasanya memprediksi serangan antara satu menit dan satu jam," kata Alex Behrens, manajer pemasaran Forta.)
Pada pukul 08:59 waktu Inggris pada hari Senin, 11 Maret, perusahaan keamanan blockchain PeckShield memposting di media sosial "Hai @eulerfinance: Anda mungkin ingin melihatnya" dan menautkan ke halaman yang menunjukkan bahwa dompet telah meretas suplai DAI Stablecoin Euler, dengan lebih dari $8,7 juta dana dicuri.
Kemudian, semua orang menyaksikan Euler dipukul lagi dan lagi. Peretas mencuri $18,5 juta di WBTC, lalu $116 juta di stETH... Pada akhirnya, peretas mendapat untung sebesar $197 juta, dan seluruh cadangan 6 token Euler musnah.
Pada pukul 9:56 pagi, Euler mengutip PeckShield di media sosial yang mengatakan: "Kami memahami bahwa tim kami saat ini sedang bekerja dengan profesional keamanan dan penegak hukum. Kami akan merilis informasi lebih lanjut segera setelah kami memilikinya."
Karena ini adalah cryptocurrency, semua orang dapat melihat dana di dompet peretas. Dengan melihat transaksi dompet, pakar keamanan dapat merekayasa balik serangan tersebut, yang pada akhirnya mengungkap satu kerentanan yang menyebabkan pencurian. Tetapi juga karena itu cryptocurrency, tim Euler tidak memiliki cara untuk menghubungkan dompet ke identitas kehidupan nyata, atau memahami niat peretas.
Pada 13 Maret, tindakan terakhir para peretas adalah mengirim 100 ETH (senilai $168.000 pada saat itu) melalui Tornado Cash, sebuah protokol transaksi "hybrid" di Ethereum yang membuat dana lebih sulit dilacak. Kemudian, alamat dompet diam.
Pada pukul 10:47 malam itu, tim Euler mengirim pesan ke dompet peretas yang mengatakan: "Kami memahami bahwa Anda bertanggung jawab atas serangan pagi ini di platform Euler. Kami menulis untuk mengetahui apakah Anda ingin mendiskusikan kemungkinan langkah selanjutnya bersama kami." Komunikasi tentatif ini menandai awal dari tiga minggu yang sulit bagi tim Euler.
Keesokan harinya pada pukul 21:22, tim Euler mengirim pesan lain ke dompet peretas, menawarkan untuk mengembalikan 90% dana yang dicuri dalam waktu 24 jam—membiarkan peretas menyimpan hadiah bug de facto $20 juta. Jika tidak, Euler menawarkan hadiah $1 juta kepada siapa saja yang memberikan informasi yang mengarah pada penangkapan peretas.
Peretas tidak menanggapi.
Pada 15 Maret pukul 11:20, tim Euler mengirim pesan lain ke dompet peretas, mengulangi tawaran bug bounty sebelumnya. “Penyelidikan kemudian dapat dihentikan dan fokus dapat dialihkan untuk mendistribusikannya kembali ke pengguna protokol tanpa menempuh jalur hukum,” tulis tim Euler.
Pada pukul 22:06, setelah para peretas tetap diam, tim Euler mengumumkan hadiah $1 juta untuk informasi yang mengarah pada penangkapan peretas dan pemulihan dana. Keesokan harinya, salah satu pendiri dan CEO Euler Dr. Michael Bentley membagikan tanggapannya terhadap serangan tersebut, menyebut beberapa hari sebelumnya sebagai hari tersulit dalam hidupnya dan mengungkapkan kesedihannya bagi pengguna yang terkena dampak.
"Saya harus mengorbankan waktu dengan putra saya yang baru lahir," cuit Bentley. “Saya tidak akan pernah memaafkan penyerang, tetapi mereka dapat memperbaiki kesalahan mereka dan mengembalikan dana ke Departemen Keuangan EulerDAO sesegera mungkin.”
Kredit gambar: Instagram @federicojaimeok
Federico Jaime mengklaim dia tidak pernah bermaksud menyimpan uang itu. “Saya tahu sejak awal bahwa $200 juta bukanlah jumlah yang kecil, itu akan menyebabkan kerusakan besar pada komunitas DeFi, dan itu sama sekali bukan tujuan saya.”
Kami semua ingin tahu, bahkan untuk sesaat, jika Federico pernah bertanya-tanya apa yang bisa dibeli dengan $200 juta, membayangkan dirinya tinggal di rumah besar? Di kapal pesiar?
"Tidak pernah, tidak sama sekali, karena saya seorang pengusaha. Saya bisa menghasilkan uang secara legal dan tanpa cacat. Saya tidak perlu mencuri. Saya tidak punya alasan untuk mengambil uang orang lain."
Bagi kebanyakan orang, komentar seperti itu tidak lebih dari memutar mata. Lagi pula, komunitas crypto tidak dikenal karena kerendahan hatinya. Tapi saya pernah melihat foto-foto Federico berkeliling Eropa, menginap di hotel bintang lima, dan mengenakan streetwear desainer. Dalam percakapan kami melalui telepon dan sesekali SMS, saya bertanya kepada Federico, yang akan berusia 20 tahun pada bulan Juni, bagaimana dia mempertahankan gaya hidupnya.
Federico dibesarkan di Buenos Aires bersama orang tua dan adik perempuannya. Terinspirasi oleh ayah insinyur perangkat lunaknya, dia belajar memprogram pada usia 12 tahun dan menjual program pertamanya, sebuah plugin untuk video game Minecraft, seharga $10.000 pada usia 14 tahun. "Itu berarti kebebasan karena saya tidak lagi harus meminta uang kepada orang tua saya dan mereka memuji saya."
Ketika dia dewasa, Federico pindah ke game baru, GTA V, di mana dia mengembangkan sistem anti-cheat untuk server multipemain khusus yang dijalankan oleh penggemar berat game tersebut. "Saya menemukan bug pembacaan memori. Saya melihat bahwa kami dapat memperoleh keuntungan darinya," kata Federico, menambahkan bahwa perangkat lunak, FiveGuard, sekarang dimiliki oleh orang lain. "Ini istimewa karena ketika Anda masuk ke server game dengan keuntungan yang tidak adil, Anda langsung diblokir."
Federico awalnya berencana untuk pergi ke sekolah hukum di Argentina, tetapi setelah lulus pada tahun 2020 dan berurusan dengan epidemi mahkota baru (ada banyak pembatasan lokal dan masa karantina yang lama di Buenos Aires), Federico, setelah mendapat persetujuan dari orang tuanya, dia memutuskan untuk mengambil cuti panjang sebelum kuliah.
Pada awal Oktober tahun lalu, Federico melakukan perjalanan ke Roma. Pada bulan Desember, dia diduga menargetkan Buenbit, pertukaran cryptocurrency yang beroperasi di Argentina, Meksiko, dan Peru, dan mencuri ratusan ribu dolar. CEO Buenbit Federico Ogue mencirikan serangan itu sebagai penipuan. Laporan berita yang mengutip sumber polisi menyebutkan biaya serangan itu $800.000, angka yang dibantah Federico.
Federico tidak akan mengomentari secara spesifik kasus tersebut, dan meskipun dia mengakui bahwa dia menargetkan Buenbit, dia juga mengklaim bahwa banyak detail yang lebih menarik dalam laporan media menyesatkan atau dibuat-buat. Pria berusia 20 tahun itu mempertahankan ketidakbersalahannya dalam kasus tersebut, mencatat bahwa dia dan pengacaranya telah menghubungi tim Buenbit dan dia berharap masalah tersebut akan diselesaikan secepat mungkin.
Dan, hanya beberapa bulan kemudian, Federico memiliki kekhawatiran baru, kali ini 200 juta.
![Peretas Euler berusia 19 tahun tidak dapat melewati keraguan 200 juta dolar selama tiga minggu] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Kredit gambar: Instagram @federicojaimeok
Pada saat penyerangan, Euler Finance memiliki sebanyak 7.000 pengguna. Dua hari kemudian, pada 15 Maret, salah satu korban memutuskan untuk mengirimkan pesan ke dompet peretas (dompet Federico).
"Mohon pertimbangkan untuk mengembalikan 90%/80%. Saya adalah pengguna dengan hanya 78 wstETH, dan sebagai pengguna yang telah menyelamatkan tabungan hidup saya di Euler, saya bukan paus atau jutawan." DL News mengonfirmasi bahwa pengguna tersebut adalah seorang Argentina bernama pengembang Blockchain Santiago Avalos, tulisnya. "Anda tidak dapat membayangkan kekacauan yang saya alami sekarang, benar-benar hancur... Keputusan Anda akan melegakan banyak orang yang terkena dampak."
Penghematan hidup Avalos sebesar 78 wstETH bernilai lebih dari $140.000 pada saat itu. Tiga belas jam setelah Avalos mengirimkan pesan tersebut, Federico membalas, tetapi tidak melalui pesan teks. Sebaliknya, Federico melakukan langkah pertamanya sejak peretasan tiga hari lalu, mengirimkan 100 ETH ke Avalos, sekitar $27.000 lebih banyak daripada korban yang hilang dalam kecelakaan Euler. Avalos mentransfer kelebihan dana kembali ke Euler, dengan mengatakan, "Saya yakin dia mungkin tergerak oleh pesan saya."
“Ini adalah isyarat dari hati saya,” kata Federico tentang motivasinya untuk mengembalikan dana tersebut. "Saya bermurah hati. Selain itu, saya kemudian mengetahui bahwa orang ini... juga orang Argentina dan pengembang Solidity," tambahnya. "Benar-benar kebetulan yang sangat menarik."
Federico belum menyelesaikan transfer dana. Dikombinasikan dengan fakta bahwa dia telah mengirim dirinya sendiri total 1.100 ETH melalui Tornado Cash dua kali, ini membuat penghasilannya menjadi hampir $2 juta. Ketika saya bertanya mengapa, Federico mengatakan kepada saya: "Saya tidak terlalu memikirkannya. Saya pikir, jika mereka memberi saya 10% dari hadiah, itu terlalu banyak untuk saya. Saya akan mencoba mengambil 1% darinya. ”
Langkah selanjutnya adalah yang paling membingungkan. Pada 17 Maret, tepat sebelum jam 5 pagi, Federico mengirim 100 ETH lagi, kali ini ke dompet terkenal yang telah melakukan salah satu peretasan cryptocurrency terbesar dalam sejarah setahun sebelumnya - dari Jembatan Ronin mencuri lebih dari $600 juta. Hanya satu bulan kemudian, Office of Foreign Assets and Control (OFAC) Departemen Keuangan AS secara resmi menghubungkan kerentanan Jembatan Ronin dengan kelompok Lazarus.
Namun ketika saya bertanya kepadanya tentang hal itu, penjelasannya mengejutkan saya. "Saya tidak tahu ini Korea Utara. Saya tidak pernah menduganya," dia memulai. “Alasan saya mengirimkan 100 ETH ke para pengeksploitasi Ronin adalah kekaguman murni… Saya kira, dari peretas topi putih hingga peretas topi hitam, saya ingin mengungkapkan kekaguman saya.”
Saya tertegun dan Federico juga melihatnya. "Aku tahu kamu tidak mengharapkan aku mengatakan itu, tapi itu benar," jawabnya. "Saya pikir ini adalah area paling penting di dunia saat ini, dan peretasan Ronin adalah tindakan rekayasa. Dalam hal itu, mengagumkan... Setan juga bisa menjadi wanita cantik."
Keesokan harinya, Federico mulai mengembalikan dana, awalnya dalam tiga angsuran masing-masing 1.000 ETH, dengan total sekitar $5,4 juta pada saat itu. Kemudian, dompetnya tidak aktif lagi. Analis pada saat itu skeptis bahwa Euler akan dapat memulihkan dana yang tersisa.
Namun dua hari kemudian, pada 20 Maret, Federico mengirim pesan pertamanya ke tim Euler: "Kami ingin memudahkan semua orang yang terkena dampak. Tidak ada niat untuk menyimpan barang-barang yang bukan milik kami. Atur komunikasi yang aman. Mari kita buat kesepakatan."
Federico mengakui berita itu agak terlambat: "Saya sedang mencoba untuk memutuskan apakah menyimpan $20 juta untuk diri saya sendiri adalah ide yang bagus... karena itulah yang ditawarkan Euler kepada saya," katanya. "Saya benar-benar tidak siap, tidak berpengalaman, dan baru... Saya tidak tidur selama berhari-hari, berminggu-minggu, tetapi pada akhirnya, saya tahu saya harus mengembalikannya, dan saya tahu saya tidak ingin melakukannya. kerusakan apa pun pada basis pengguna Euler."
Tetap saja, Federico butuh beberapa saat untuk mengembalikan dana tersebut. Pada tanggal 25 Maret sekitar pukul 15.00, 81.953 ETH (sekitar $143 juta) pertama kali terlihat. Kemudian pada tanggal 27, $10 juta dalam bentuk DAI mengikuti. Pada pukul 3 pagi pada tanggal 28, Federico secara terbuka meminta maaf, mengatakan, "Saya mengacau. Saya tidak mau, tetapi saya mengacaukan uang orang lain, pekerjaan orang lain, kehidupan orang lain... tolong maafkan saya." sebagian dana masih berada di bawah kendalinya.
Akhirnya, pada tanggal 3 April, tim Euler dengan gembira mengumumkan bahwa setelah beberapa transaksi terakhir peretas, semua "dana yang dapat dipulihkan" telah dikembalikan. Euler juga secara resmi mencabut hadiah $1 juta untuk kepala Federico. Pengembalian dana menandai salah satu pemulihan paling sukses dalam sejarah DeFi, dan Federico merasa lega karena semuanya telah berakhir.
Kemudian, dua setengah bulan kemudian, dompet Federico aktif kembali, mengirim pesan ke dirinya sendiri. Yang pertama pada tanggal 17 Juni, hanya dengan dua kata: "Ben yre" - Buenos Aires. Tujuh belas menit kemudian, pesan lain datang dari dompet, juga dalam bahasa Spanyol, yang mengaku sebagai hacker Argentina, Peronis, dan white hat. Nasihat pesan itu kepada sesama peretas: "Jangan bodoh, jangan mencuri, dapatkan hadiahnya."
Di akhir pesan, dompet tersebut ditautkan ke akun Instagram - @federicojaimeok. Saya mengiriminya pesan pribadi. Kami mulai berbicara di Instagram, tempat cerita Federico diarsipkan sejak September 2022, lalu kami berbicara di Telegram. Selama percakapan kami, semua yang dikatakan pria ini cocok dengan apa yang telah saya pelajari tentang Federico dari sumber lain. Federico juga memberi saya nomor telepon ayahnya, yang mengonfirmasi identitas dan hubungannya dengan Federico, dan memberi saya informasi lain yang cocok dengan apa yang dikatakan Federico kepada saya.
Federico memberi tahu saya bahwa dia memutuskan untuk muncul bukan untuk keuntungannya sendiri, tetapi untuk kepentingan komunitas DeFi. "Saya ingin mendorong peretasan etis, itulah alasan utamanya, dan saya ingin memiliki suara dan memberi tahu orang untuk melakukan hal yang benar."
Federico juga berharap bahwa taktik negosiasi Euler dengan penyerang akan menjadi preseden untuk diikuti oleh bagian DeFi lainnya. "Saya yakin adegan peretasan dalam keuangan terdesentralisasi akan berbeda setelah peretasan Euler. Saya pikir ini menunjukkan kepada dunia pentingnya audit, dan pentingnya negosiasi setelah peretasan," katanya.
Erin Plante, wakil presiden investigasi di Chainalysis, berkata: "Namun, tidak semua orang di ruang cryptocurrency antusias dengan bounty bug dan negosiasi peretas. Sebagian besar peretasan DeFi tidak dimulai dari bounty bug yang sah. Alih-alih dibayar $100.000 atau $500.000, mereka sering menuntut 50% atau lebih dari jumlah total dana yang dicuri sebagai komisi, yang lebih mirip pemerasan.”
Plante juga mencatat bahwa ketika lembaga penegak hukum menjadi lebih baik dalam melacak cryptocurrency ilegal, semakin sulit bagi peretas untuk mencairkan kemenangan mereka. "Dalam konteks ini, ditambah dengan penurunan hadiah kolektif di seluruh industri, insentif bagi peretas untuk melakukan pekerjaan diharapkan akan berubah," katanya.
Federico berulang kali menegaskan kepada saya bahwa rencananya sejak awal adalah mengembalikan dana. Jadi mengapa dia membutuhkan waktu tiga minggu?
"Saya ingin memiliki waktu untuk melindungi diri sendiri dan mencari cara untuk aman, secara legal dan sebaliknya," katanya.
Tentu saja, beberapa klaim Federico tidak dapat diverifikasi. Federico memberi tahu saya bahwa desain dan implementasi protokol sepenuhnya adalah pekerjaannya ("Saya melakukan semuanya sendiri"), meskipun terkadang dia mendapat saran dari seorang kolega, seperti daftar protokol DeFi untuk diteliti (yang lebih seperti menutupi keterlibatan orang lain, karena tidak ada cara untuk menentukan siapa yang menulis kode dari data on-chain yang kita miliki.)
Kami juga tidak akan pernah tahu apakah Federico akan menyimpan uangnya seandainya dia merencanakan serangan itu dengan lebih baik. Dia mengaku kepada saya bahwa dia menyesal tidak memikirkan konsekuensinya, tetapi mengatakan itu hanya tentang melakukan hal yang benar. "Saya hanya tidak cukup merencanakan dan jumlahnya terlalu besar untuk saya tangani," katanya.
Federico mengatakan kepada saya bahwa dia menyesali rasa sakit yang dia timbulkan pada tim Euler. "Ketika saya membaca tweet Michael Bentley yang mengatakan dia harus mengorbankan waktu bersama keluarganya, itu membuat saya sedih," katanya. Ketika saya bertanya kepadanya apakah dia khawatir tentang dampak serangan di masa depan, dia menepis kekhawatiran itu. “Saya yakin, secara hukum, tim Euler tidak akan dapat melacak saya kembali secara retroaktif, karena hal ini akan mencegah peretas di masa mendatang untuk mengembalikan dana.”
Untuk menyenangkan (dan hampir tidak percaya) para korban, Euler Finance mulai membayar kompensasi untuk menyerang para korban pada 12 April. Dampak kerentanan telah menyebar ke 11 protokol DeFi lainnya. Salah satunya (Protokol Hasil) tidak dilanjutkan hingga 27 Juni. Euler Finance lumpuh sejak peretasan.
Federico, yang masih di Eropa, menggambarkan situasi pribadinya sebagai "rumit" tetapi mengatakan dia berharap untuk segera kembali ke Buenos Aires untuk melanjutkan studinya. "Hidupku tidak semudah itu sejak peretasan Euler dan itu membuatku stres."
Saya bertanya kepada Federico apakah menurutnya Tuhan, yang tampaknya menjawab doanya, sedang memberinya pelajaran. "Saya pikir dia sedang bermain-main dengan saya atau (menguji) saya," jawabnya.
Federico belum mengambil keputusan.