原文标题:《ОН УКРАЛ 200 МИЛЛИОНОВ ДОЛЛАРОВ. ОН ВЕРНУЛ. ТЕПЕРЬ ОН ГОТОВ ОБЪЯСНИТЬ ПОЧЕМУ》
Автор оригинала: Зак Абрамс, Coinage
Сборник: БлокБитс
13 марта 2023 года всего за 18 минут хакер украл криптовалюту на сумму почти 200 миллионов долларов у популярной кредитной платформы Euler Finance, совершив крупнейшую кражу года. Всего через три недели он отменил сделку и вернул все, что украл.
Впервые после взлома глава операции выступил с заявлением, чтобы объяснить свое отношение к событиям и заявил, что он вообще не собирался оставлять деньги себе.
Coinage поговорила с человеком, который утверждал, что он хакер, молодым аргентинцем по имени Федерико Хайме, утверждение, подкрепленное другими важными доказательствами. Это его история.
Изображение предоставлено: Instagram @federicojaimeok
Было около 3 часов ночи прохладной мартовской ночью в Риме, и Федерико стоял возле бара, ожидая друзей и разговаривая с Богом. 19-летний аргентинец весь последний месяц что-то искал и так и не нашел. Он задавался вопросом, почему.
«Боже, если все мои проекты сделаны за месяц, то почему бы и не в этот раз?» — подумал он, глядя в небо. «Почему я не слышу этого сейчас, если слышал раньше?» До возвращения в отель оставалось еще несколько часов.
Когда он, наконец, вернулся домой, он, как обычно, не мог уснуть. Итак, он решил пойти работать.
Молитвы Федерико были услышаны почти сразу, возможно, пророчески. Он нашел то, что искал: ошибку в коде программы кредитования криптовалюты. Он немедленно приступил к эксплуатации своего открытия.
«Когда я работаю, я работаю как художник, как писатель», — позже сказал мне Федерико по телефону на английском, своем втором языке. «Недостаток сна — хорошая вещь для того, чтобы пробудить Музу».
Следующие два дня Федерико не мог спать. Когда он, наконец, приходит в себя на больничной койке в Италии, его состояние увеличивается на 200 миллионов долларов, но он чувствует, как проклятие на его спине.
Изображение предоставлено: Instagram @federicojaimeok
Криптовалютный мир полагается на прозрачность. Каждая транзакция — отправка денег другу, покупка NFT, получение кредита — публична и необратима. Приложения, работающие на блочной цепочке (называемые смарт-контрактами), также являются общедоступными; каждый может проверить код самостоятельно.
По мере того, как за последние несколько лет резко возрос интерес к криптовалютам, выросла и целая индустрия приложений для децентрализованного финансирования, позволяющая инвесторам в криптовалюту обменивать токены, получать кредиты, делать ставки с кредитным плечом на движение цен и получать проценты. Около 45 миллиардов долларов в криптовалютах в настоящее время привязаны к протоколам DeFi; осенью 2021 года эта цифра превысит 175 миллиардов долларов, что примерно эквивалентно всей сумме депозитов, хранящихся в Morgan Stanley.
DeFi предоставляет захватывающие финансовые инновации для энтузиастов криптовалюты в соответствии с быстрым развитием и слабым регулированием сферы криптовалют. Если вы хотите занять 200 миллионов долларов без залога или спекулировать на «мемных» криптовалютах, таких как DOGE и PEPE, DeFi — единственный выход.
В то же время хакеры рассматривают DeFi как различные цифровые банковские хранилища, каждое из которых имеет общедоступный план (код с открытым исходным кодом), эффективно приглашая кого-то попытаться ограбить. Протоколы DeFi стали главной целью хакеров криптовалюты, которые украли у DeFi 2,2 миллиарда долларов в 2021 году и 3,1 миллиарда долларов в 2022 году, что составляет 80% всех украденных криптовалют в этом году, согласно данным исследовательской компании Chainaanalysis.
На сегодняшний день самым успешным взломом криптовалюты является Lazarus Group: 1,1 миллиарда долларов из 1,7 миллиарда долларов, украденных у Lazarus в 2022 году, приходится на эксплойты DeFi.
Перед лицом бесконечных атак протоколы DeFi реагируют, нанимая фирмы по безопасности для аудита смарт-контрактов, отслеживания угроз и даже заманивания белых хакеров (то есть хакеров, которые отмечают уязвимости для вознаграждения, а не черных хакеров, которые их эксплуатируют). . Украсть эксплойты для себя. Даже тщательно проверенный протокол DeFi, который принимает все меры предосторожности, все же может стать жертвой мощного взлома со стороны иногда всего 19-летнего подростка с Богом на его стороне.
Изображение предоставлено: Instagram @federicojaimeok
Все это можно предотвратить с помощью одной строки кода.
Вернувшись в отель, когда над Римом взошло солнце, Федерико начал работать над протоколом кредитования DeFi под названием Euler Finance, разработанным лондонским стартапом Euler Labs. Euler позволяет своим пользователям брать кредиты, в десять раз превышающие стоимость их депонированного залога; внесите 10 000 долларов, и вы сможете торговать на сумму 100 000 долларов. Но криптовалюты нестабильны, и если цены движутся в неправильном направлении, депозитов пользователей может оказаться недостаточно для обеспечения погашения их залога. Вот почему каждый раз, когда пользователь взаимодействует с Euler, платформа проверяет состояние его учетной записи, и если показатель здоровья становится слишком низким, запускается автоматическая ликвидация.
Но Федерико увидел то, чего там не было: отсутствие проверок работоспособности для одной функции в одном смарт-контракте Эйлера. Всего за несколько часов исследований Федерико обнаружил то, что упустила команда Эйлера, а также несколько независимых аудиторов смарт-контрактов.
«Это просто божественное вдохновение. Это просто пробуждает мою музу», — сказал Федерико. «Точно, после месяца поисков того, что я искал… я нашел это».
Федерико начинает планировать атаку. 13 марта, после двух дней безостановочного программирования, он был почти готов к исполнению. Единственная проблема: он не знает, как развернуть смарт-контракт и сколько это будет стоить.
«Я гуглил «сколько стоит развертывание смарт-контракта?» и нашел… статьи, в которых говорилось «от 5 000 до 50 000 долларов», — сказал Федерико, повысив голос, чтобы повторить его недоверие. "ВТФ"
Но Федерико пошел дальше и в конце концов узнал, что фактические затраты на развертывание по контракту намного ниже. В этот момент, через несколько дней после того, как он в последний раз ночевал, Федерико сказал мне, что вообще не думает о деньгах. «Я думаю, что это эксперимент. Просто эксперимент», — объяснил он. «Я не уверен, что это сработает… Я не уверен, что смогу развернуть смарт-контракт. Я скорее сомневаюсь, чем уверен».
«Поэтому я действительно недооценил ошибку и себя, потому что она, наконец, сработала», — добавил он.
Утром 13 марта 2023 года в 9:54 по итальянскому времени Федерико сидит перед своим компьютером. В течение 18 минут три кошелька, которые он использовал для запуска атаки на Euler Finance, похитили из протокола криптовалюту на сумму 197 миллионов долларов. Все средства оказались в одном кошельке — виртуальном вещевом мешке, наполненном стопками стодолларовых купюр.
"Сначала я подумал, что это так захватывающе. Я заключил огромную сделку, а потом подумал: вау, 200 миллионов долларов. Это проклятие на моей спине".
Все еще не в силах заснуть, Федерико попросил консьержа отеля вызвать скорую помощь.
Изображение предоставлено: Instagram @federicojaimeok
Первыми обнаруживают аномалии боты, а некоторые компании, занимающиеся криптографической безопасностью, обеспечивают мониторинг угроз в реальном времени и оповещения для проектов DeFi. В случае со взломом Euler по крайней мере две охранные фирмы, Forta и Hypernative, были предупреждены до начала атаки.
К сожалению для Euler Labs, которая отказалась комментировать эту статью, автоматическое оповещение поступило всего за несколько минут до начала атаки, из-за чего лондонскому стартапу было слишком рано защищать протокол. («Обычно мы прогнозируем атаку от минуты до часа», — сказал Алекс Беренс, менеджер по маркетингу Forta.)
В 8:59 по британскому времени в понедельник, 11 марта, компания PeckShield, занимающаяся безопасностью блокчейна, разместила в социальных сетях «Привет, @eulerfinance: возможно, вы захотите взглянуть» и ссылку на страницу, показывающую, что кошелек взломал поставку стейблкоинов Euler DAI, с украдено более 8,7 млн долларов.
Затем все наблюдали, как Эйлера снова и снова бьют. Хакер украл 18,5 миллионов долларов в WBTC, затем 116 миллионов долларов в stETH... В конце концов хакер получил прибыль в размере 197 миллионов долларов, и весь резерв Эйлера из 6 токенов был уничтожен.
В 9:56 Эйлер процитировал PeckShield в социальных сетях: «Мы понимаем, что наша команда в настоящее время работает со специалистами по безопасности и правоохранительными органами. Мы опубликуем дополнительную информацию, как только она у нас будет».
Поскольку это криптовалюта, каждый может увидеть средства в кошельке хакера. Изучив транзакции кошелька, эксперты по безопасности смогли перепроектировать атаку, в конечном итоге обнаружив единственную уязвимость, которая привела к краже. Но также из-за того, что это была криптовалюта, у команды Эйлера не было возможности связать кошелек с реальной личностью или понять намерения хакера.
13 марта последним действием хакеров было отправить 100 ETH (на тот момент это стоило 168 000 долларов) через Tornado Cash, «гибридный» протокол транзакций на Ethereum, который затрудняет отслеживание средств. Тогда адрес кошелька молчит.
В 10:47 той ночью команда Euler отправила сообщение на хакерский кошелек, в котором говорилось: «Мы понимаем, что вы несете ответственность за сегодняшнюю утреннюю атаку на платформу Euler. Мы пишем, чтобы узнать, хотите ли вы обсудить любые возможные следующие шаги. с нами." Это предварительное сообщение знаменует собой начало трех трудных недель для команды Эйлера.
На следующий день в 21:22 команда Эйлера отправила еще одно сообщение на кошелек хакера, предлагая вернуть 90% украденных средств в течение 24 часов, оставив хакеру де-факто удержать вознаграждение за обнаружение ошибок в размере 20 миллионов долларов. В противном случае Эйлер предлагает вознаграждение в размере 1 миллиона долларов любому, кто предоставит информацию, ведущую к аресту хакера.
Хакер не ответил.
15 марта в 11:20 команда Euler отправила еще одно сообщение на кошелек хакера, повторяя предыдущее предложение вознаграждения за обнаружение ошибок. «Тогда расследование может быть остановлено, и основное внимание может быть переключено на распространение его обратно среди пользователей протокола, не идя по законному пути», — написала команда Эйлера.
В 22:06, после того как хакеры замолчали, команда Эйлера объявила вознаграждение в размере 1 миллиона долларов за информацию, которая приведет к аресту хакера и возврату средств. На следующий день соучредитель и генеральный директор Euler доктор Майкл Бентли поделился своей реакцией на атаку, назвав предыдущие несколько дней самыми тяжелыми в своей жизни и выразив свое горе по пострадавшим пользователям.
«Мне пришлось пожертвовать временем с моим новорожденным сыном», — написал Бентли в Твиттере. «Я никогда не прощу злоумышленников, но они могут исправить свои ошибки и вернуть средства в казну EulerDAO в кратчайшие сроки».
Изображение предоставлено: Instagram @federicojaimeok
Федерико Хайме утверждает, что никогда не собирался оставлять деньги себе. «Я с самого начала знал, что 200 миллионов долларов — это немало, это нанесет огромный ущерб сообществу DeFi, и это вовсе не было моей целью».
Мы все хотели бы знать, хотя бы на мгновение, задумывался ли когда-нибудь Федерико о том, что можно купить за 200 миллионов долларов, воображая, что живет в особняке? На яхте?
«Никогда, ни в коем случае, потому что я предприниматель. Я могу зарабатывать деньги легально и безупречно. Мне не нужно воровать. У меня нет причин брать чужие деньги».
Для большинства людей такой комментарий был бы не чем иным, как закатыванием глаз. В конце концов, криптосообщество не славится своей скромностью. Но я видел фотографии, на которых Федерико путешествует по Европе, останавливается в пятизвездочных отелях и носит дизайнерскую уличную одежду. В наших разговорах по телефону и случайных текстовых сообщениях я спросил Федерико, которому в июне исполняется 20 лет, как он поддерживает свой образ жизни.
Федерико вырос в Буэнос-Айресе со своими родителями и младшей сестрой. Вдохновленный своим отцом, инженером-программистом, он научился программировать в 12 лет и продал свою первую программу, плагин для видеоигры Minecraft, за 10 000 долларов в 14 лет. «Это означает свободу, потому что мне больше не нужно просить денег у родителей, и они мне аплодируют».
Когда он вырос, Федерико перешел к новой игре, GTA V, где он разработал анти-чит-систему для пользовательского многопользовательского сервера, управляемого несгибаемыми фанатами игры. «Я обнаружил ошибку чтения памяти. Я увидел, что мы можем получить от этого прибыль», — сказал Федерико, добавив, что программное обеспечение FiveGuard теперь принадлежит кому-то другому. «Это особенное, потому что, когда вы попадаете на игровой сервер с каким-то несправедливым преимуществом, вас немедленно банят».
Изначально Федерико планировал поступить на юридический факультет в Аргентине, но после окончания в 2020 году и борьбы с новой коронной эпидемией (в Буэнос-Айресе много местных ограничений и длительный период карантина) Федерико, получив согласие родителей, решил взять длительный отпуск перед колледжем.
В начале октября прошлого года Федерико отправился в Рим. В декабре он якобы напал на Buenbit, криптовалютную биржу, работающую в Аргентине, Мексике и Перу, и украл сотни тысяч долларов. Генеральный директор Buenbit Федерико Ог охарактеризовал атаку как мошенническую. В новостях со ссылкой на источники в полиции стоимость нападения оценивается в 800 000 долларов, но Федерико отрицает эту цифру.
Федерико не стал комментировать детали дела, и хотя он признал, что нацелился на Буэнбита, он также заявил, что многие из наиболее интересных подробностей в сообщениях СМИ были либо вводящими в заблуждение, либо откровенно сфабрикованными. 20-летний мужчина настаивает на своей невиновности в этом деле, отмечая, что он и его адвокат поддерживают связь с командой Буэнбита и надеются, что вопрос будет решен как можно скорее.
И, всего через несколько месяцев, у Федерико появились новые заботы, на этот раз 200 миллионов.
![19-летний хакер Эйлера три недели не мог пройти мимо 200 миллионов долларов] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Изображение предоставлено: Instagram @federicojaimeok
На момент атаки у Euler Finance было 7000 пользователей. Через два дня, 15 марта, одна из жертв решила отправить сообщение на кошелек хакера (кошелек Федерико).
"Пожалуйста, рассмотрите возможность возврата 90%/80%. У меня всего 78 wstETH, и как пользователь, который сохранил свои сбережения в Euler, я не кит и не миллионер". Он написал, что аргентинец назвал разработчиков Santiago Avalos Blockchain. «Вы не можете себе представить, в каком хаосе я сейчас нахожусь, полностью опустошенный… Ваше решение станет облегчением для многих пострадавших».
Сбережения Авалоса в размере 78 wstETH в то время стоили более 140 000 долларов. Через тринадцать часов после того, как Авалос отправил сообщение, Федерико ответил, но не в текстовом сообщении. Вместо этого Федерико сделал свой первый шаг после взлома три дня назад, отправив 100 ETH в Avalos, что примерно на 27 000 долларов больше, чем жертва потеряла в результате краха Эйлера. Авалос перевел лишние средства обратно Эйлеру, сказав: «Я полагаю, что мое сообщение могло его тронуть».
«Это жест моего сердца», — сказал Федерико о своей мотивации вернуть средства. «Я был великодушен. Кроме того, позже я узнал, что этот парень… тоже был аргентинцем и разработчиком Solidity», — добавил он. «Это действительно очень интересное совпадение».
Федерико еще не завершил перевод средств. В сочетании с тем фактом, что он дважды отправил себе в общей сложности 1100 ETH через Tornado Cash, его доход составляет почти 2 миллиона долларов. Когда я спросил его, почему, Федерико сказал мне: "Я не думал об этом. Я думал, что если они дадут мне 10% награды, это слишком много для меня. Я постараюсь взять 1%". ”
Его следующий ход, безусловно, самый запутанный. 17 марта, незадолго до 5 утра, Федерико снова отправил 100 ETH, на этот раз на печально известный кошелек, который годом ранее осуществил один из крупнейших взломов криптовалюты в истории — с моста Ронин украл более 600 миллионов долларов. Всего через месяц Управление иностранных активов и контроля Министерства финансов США (OFAC) официально связало уязвимость Ronin Bridge с группой Lazarus.
Но когда я спросил его об этом, его объяснение поразило меня. «Я понятия не имел, что это Северная Корея. Я никогда не подозревал об этом», — начал он. «Причиной, по которой я отправил 100 ETH эксплуататорам Ronin, было чистое восхищение… Я думаю, от белых хакеров до черных хакеров, я хотел выразить свое восхищение».
Я был ошеломлен, и Федерико тоже это увидел. «Я знаю, вы не ожидали, что я скажу это, но это правда», — ответил он. «Я думаю, что это самая важная область в мире сегодня, и взлом Ронина был инженерным актом. В этом смысле это достойно восхищения… Демоны могут быть красивыми женщинами».
На следующий день Федерико начал возвращать средства, первоначально тремя частями по 1000 ETH каждый, что на тот момент составляло примерно 5,4 миллиона долларов. Затем его бумажник снова стал бездействующим. В то время аналитики скептически относились к тому, что Эйлер сможет вернуть оставшиеся средства.
Но два дня спустя, 20 марта, Федерико отправил свое первое сообщение команде Эйлера: «Мы хотим облегчить жизнь всем, кого это касается. Мы не собираемся оставлять себе вещи, которые нам не принадлежат. Настройте безопасную связь. сделка."
Федерико признал, что новость была немного запоздалой: «Я пытался решить, было ли хорошей идеей оставить себе 20 миллионов долларов… потому что это то, что предложил мне Эйлер», — сказал он. «Я был действительно неподготовленным, неопытным и новичком… Я не спал днями, неделями, но в конце дня я знал, что должен вернуть его, и я знал, что не хочу этого делать. любой ущерб пользовательской базе Эйлера».
Тем не менее, Федерико потребовалось некоторое время, чтобы вернуть средства. 25 марта около 15:00 впервые было замечено 81 953 ETH (примерно 143 миллиона долларов). Затем, 27-го числа, последовали DAI на 10 миллионов долларов. В 3 часа ночи 28-го числа Федерико публично извинился, сказав: «Я облажался. Я не хотел, но я испортил чужие деньги, чужую работу, чужие жизни… пожалуйста, прости меня». некоторые средства все еще находились под его контролем.
Наконец, 3 апреля команда Эйлера взволнованно объявила, что после нескольких последних транзакций хакера все «возмещаемые средства» были возвращены. Эйлер также официально отменил награду в 1 миллион долларов за голову Федерико. Возврат средств стал одним из самых успешных восстановлений в истории DeFi, и Федерико почувствовал облегчение, что все закончилось.
Затем, два с половиной месяца спустя, кошелек Федерико снова стал активным, отправляя сообщения самому себе. Первый был 17 июня, всего в двух словах: «Ben yre» — Буэнос-Айрес. Семнадцать минут спустя из кошелька пришло еще одно сообщение, также на испанском языке, в котором утверждалось, что он аргентинец, перонист и хакер в белой шляпе. Совет в сообщении коллегам-хакерам: «Не будь глупым, не воруй, заработай награду».
В конце сообщения кошелек привязан к аккаунту в Instagram — @federicojaimeok. Я отправил ему личное сообщение. Мы начали общаться в Instagram, где хранятся истории Федерико с сентября 2022 года, а затем пообщались в Telegram. Во время нашего разговора все, что мне рассказал этот человек, совпало с тем, что я узнал о Федерико из других источников. Федерико также предоставил мне номер телефона своего отца, который подтвердил свою личность и родство с Федерико, а также другую информацию, совпадающую с тем, что сообщил мне Федерико.
Федерико сказал мне, что решил появиться не для собственной выгоды, а для пользы сообщества DeFi. «Я хочу поощрять этичный взлом, это главная причина, и я хочу иметь право голоса и говорить людям, чтобы они поступали правильно».
Федерико также надеется, что тактика переговоров Эйлера со злоумышленниками создаст прецедент для других частей DeFi. "Я уверен, что хакерская сцена в децентрализованных финансах будет другой после взлома Эйлера. Я думаю, что это показывает миру важность аудита и важность переговоров после взлома", - сказал он.
Эрин Планте, вице-президент по расследованиям в Chainalysis, сказала: «Однако не все в сфере криптовалют с энтузиазмом относятся к тому, что вознаграждение за обнаружение ошибок и переговоры с хакерами становятся нормой. Большинство взломов DeFi не начинаются с законных вознаграждений за обнаружение ошибок. 500 000 долларов, часто требуют 50% и более от общей суммы украденных средств в качестве комиссии, что больше похоже на вымогательство».
Планте также отметил, что по мере того, как правоохранительные органы лучше отслеживают незаконные криптовалюты, хакерам становится все труднее обналичивать свои выигрыши. «В этом контексте, в сочетании с коллективным снижением наград в отрасли, мы надеемся, что стимулы для хакеров выполнять работу изменятся», — сказала она.
Федерико неоднократно уверял меня, что его план с самого начала состоял в том, чтобы вернуть средства. Так почему же ему понадобилось три недели?
«Я хочу иметь время, чтобы защитить себя и найти способы быть в безопасности, юридически или иначе», — сказал он.
Конечно, некоторые утверждения Федерико невозможно проверить. Федерико сказал мне, что разработка и реализация протокола — это полностью его работа («Я все сделал сам»), хотя иногда он получает совет от коллеги, например, список протоколов DeFi для исследования (что больше похоже на маскировку участие других, поскольку невозможно определить, кто написал код, по имеющимся у нас данным в сети.)
Мы также никогда не узнаем, сохранил бы Федерико деньги, если бы лучше спланировал нападение. Он признался мне, что сожалеет о том, что не подумал о последствиях, но сказал, что нужно просто поступать правильно. «Я просто не планировал достаточно, и сумма была слишком большой, чтобы я мог справиться», — сказал он.
Федерико сказал мне, что сожалеет о боли, которую причинил команде Эйлера. «Когда я прочитал твит Майкла Бентли о том, что ему пришлось пожертвовать временем со своей семьей, это разбило мне сердце», — сказал он. Когда я спросил его, обеспокоен ли он будущими последствиями нападения, он отклонил эти опасения. «Я уверен, что юридически команда Эйлера не сможет отследить меня задним числом, поскольку это помешает будущим хакерам вернуть средства».
К радости (и почти недоверию) жертв, 12 апреля Euler Finance начала выплачивать компенсацию пострадавшим от нападения. Воздействие уязвимости распространилось на 11 других протоколов DeFi. Один из них (протокол доходности) не возобновлялся до 27 июня. Euler Finance был парализован после взлома.
Федерико, все еще находящийся в Европе, охарактеризовал свою личную ситуацию как «сложную», но сказал, что надеется вскоре вернуться в Буэнос-Айрес, чтобы продолжить учебу. «Моя жизнь не была такой легкой после взлома Эйлера, и это оставило меня в стрессе».
Я спросил Федерико, думает ли он, что Бог, по-видимому, отвечая на его молитвы, преподает ему урок. «Я думаю, что он либо играет со мной в игру, либо (испытывает) меня», — ответил он.
Федерико еще не решил.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Столкнувшись с колебаниями в размере 200 миллионов долларов в течение трех недель, 19-летний хакер Эйлера не может справиться со своей совестью
原文标题:《ОН УКРАЛ 200 МИЛЛИОНОВ ДОЛЛАРОВ. ОН ВЕРНУЛ. ТЕПЕРЬ ОН ГОТОВ ОБЪЯСНИТЬ ПОЧЕМУ》
Автор оригинала: Зак Абрамс, Coinage
Сборник: БлокБитс
13 марта 2023 года всего за 18 минут хакер украл криптовалюту на сумму почти 200 миллионов долларов у популярной кредитной платформы Euler Finance, совершив крупнейшую кражу года. Всего через три недели он отменил сделку и вернул все, что украл.
Впервые после взлома глава операции выступил с заявлением, чтобы объяснить свое отношение к событиям и заявил, что он вообще не собирался оставлять деньги себе.
Coinage поговорила с человеком, который утверждал, что он хакер, молодым аргентинцем по имени Федерико Хайме, утверждение, подкрепленное другими важными доказательствами. Это его история.
Изображение предоставлено: Instagram @federicojaimeok
Было около 3 часов ночи прохладной мартовской ночью в Риме, и Федерико стоял возле бара, ожидая друзей и разговаривая с Богом. 19-летний аргентинец весь последний месяц что-то искал и так и не нашел. Он задавался вопросом, почему.
«Боже, если все мои проекты сделаны за месяц, то почему бы и не в этот раз?» — подумал он, глядя в небо. «Почему я не слышу этого сейчас, если слышал раньше?» До возвращения в отель оставалось еще несколько часов.
Когда он, наконец, вернулся домой, он, как обычно, не мог уснуть. Итак, он решил пойти работать.
Молитвы Федерико были услышаны почти сразу, возможно, пророчески. Он нашел то, что искал: ошибку в коде программы кредитования криптовалюты. Он немедленно приступил к эксплуатации своего открытия.
«Когда я работаю, я работаю как художник, как писатель», — позже сказал мне Федерико по телефону на английском, своем втором языке. «Недостаток сна — хорошая вещь для того, чтобы пробудить Музу».
Следующие два дня Федерико не мог спать. Когда он, наконец, приходит в себя на больничной койке в Италии, его состояние увеличивается на 200 миллионов долларов, но он чувствует, как проклятие на его спине.
Изображение предоставлено: Instagram @federicojaimeok
Криптовалютный мир полагается на прозрачность. Каждая транзакция — отправка денег другу, покупка NFT, получение кредита — публична и необратима. Приложения, работающие на блочной цепочке (называемые смарт-контрактами), также являются общедоступными; каждый может проверить код самостоятельно.
По мере того, как за последние несколько лет резко возрос интерес к криптовалютам, выросла и целая индустрия приложений для децентрализованного финансирования, позволяющая инвесторам в криптовалюту обменивать токены, получать кредиты, делать ставки с кредитным плечом на движение цен и получать проценты. Около 45 миллиардов долларов в криптовалютах в настоящее время привязаны к протоколам DeFi; осенью 2021 года эта цифра превысит 175 миллиардов долларов, что примерно эквивалентно всей сумме депозитов, хранящихся в Morgan Stanley.
DeFi предоставляет захватывающие финансовые инновации для энтузиастов криптовалюты в соответствии с быстрым развитием и слабым регулированием сферы криптовалют. Если вы хотите занять 200 миллионов долларов без залога или спекулировать на «мемных» криптовалютах, таких как DOGE и PEPE, DeFi — единственный выход.
В то же время хакеры рассматривают DeFi как различные цифровые банковские хранилища, каждое из которых имеет общедоступный план (код с открытым исходным кодом), эффективно приглашая кого-то попытаться ограбить. Протоколы DeFi стали главной целью хакеров криптовалюты, которые украли у DeFi 2,2 миллиарда долларов в 2021 году и 3,1 миллиарда долларов в 2022 году, что составляет 80% всех украденных криптовалют в этом году, согласно данным исследовательской компании Chainaanalysis.
На сегодняшний день самым успешным взломом криптовалюты является Lazarus Group: 1,1 миллиарда долларов из 1,7 миллиарда долларов, украденных у Lazarus в 2022 году, приходится на эксплойты DeFi.
Перед лицом бесконечных атак протоколы DeFi реагируют, нанимая фирмы по безопасности для аудита смарт-контрактов, отслеживания угроз и даже заманивания белых хакеров (то есть хакеров, которые отмечают уязвимости для вознаграждения, а не черных хакеров, которые их эксплуатируют). . Украсть эксплойты для себя. Даже тщательно проверенный протокол DeFi, который принимает все меры предосторожности, все же может стать жертвой мощного взлома со стороны иногда всего 19-летнего подростка с Богом на его стороне.
Изображение предоставлено: Instagram @federicojaimeok
Все это можно предотвратить с помощью одной строки кода.
Вернувшись в отель, когда над Римом взошло солнце, Федерико начал работать над протоколом кредитования DeFi под названием Euler Finance, разработанным лондонским стартапом Euler Labs. Euler позволяет своим пользователям брать кредиты, в десять раз превышающие стоимость их депонированного залога; внесите 10 000 долларов, и вы сможете торговать на сумму 100 000 долларов. Но криптовалюты нестабильны, и если цены движутся в неправильном направлении, депозитов пользователей может оказаться недостаточно для обеспечения погашения их залога. Вот почему каждый раз, когда пользователь взаимодействует с Euler, платформа проверяет состояние его учетной записи, и если показатель здоровья становится слишком низким, запускается автоматическая ликвидация.
Но Федерико увидел то, чего там не было: отсутствие проверок работоспособности для одной функции в одном смарт-контракте Эйлера. Всего за несколько часов исследований Федерико обнаружил то, что упустила команда Эйлера, а также несколько независимых аудиторов смарт-контрактов.
«Это просто божественное вдохновение. Это просто пробуждает мою музу», — сказал Федерико. «Точно, после месяца поисков того, что я искал… я нашел это».
Федерико начинает планировать атаку. 13 марта, после двух дней безостановочного программирования, он был почти готов к исполнению. Единственная проблема: он не знает, как развернуть смарт-контракт и сколько это будет стоить.
«Я гуглил «сколько стоит развертывание смарт-контракта?» и нашел… статьи, в которых говорилось «от 5 000 до 50 000 долларов», — сказал Федерико, повысив голос, чтобы повторить его недоверие. "ВТФ"
Но Федерико пошел дальше и в конце концов узнал, что фактические затраты на развертывание по контракту намного ниже. В этот момент, через несколько дней после того, как он в последний раз ночевал, Федерико сказал мне, что вообще не думает о деньгах. «Я думаю, что это эксперимент. Просто эксперимент», — объяснил он. «Я не уверен, что это сработает… Я не уверен, что смогу развернуть смарт-контракт. Я скорее сомневаюсь, чем уверен».
«Поэтому я действительно недооценил ошибку и себя, потому что она, наконец, сработала», — добавил он.
Утром 13 марта 2023 года в 9:54 по итальянскому времени Федерико сидит перед своим компьютером. В течение 18 минут три кошелька, которые он использовал для запуска атаки на Euler Finance, похитили из протокола криптовалюту на сумму 197 миллионов долларов. Все средства оказались в одном кошельке — виртуальном вещевом мешке, наполненном стопками стодолларовых купюр.
"Сначала я подумал, что это так захватывающе. Я заключил огромную сделку, а потом подумал: вау, 200 миллионов долларов. Это проклятие на моей спине".
Все еще не в силах заснуть, Федерико попросил консьержа отеля вызвать скорую помощь.
Изображение предоставлено: Instagram @federicojaimeok
Первыми обнаруживают аномалии боты, а некоторые компании, занимающиеся криптографической безопасностью, обеспечивают мониторинг угроз в реальном времени и оповещения для проектов DeFi. В случае со взломом Euler по крайней мере две охранные фирмы, Forta и Hypernative, были предупреждены до начала атаки.
К сожалению для Euler Labs, которая отказалась комментировать эту статью, автоматическое оповещение поступило всего за несколько минут до начала атаки, из-за чего лондонскому стартапу было слишком рано защищать протокол. («Обычно мы прогнозируем атаку от минуты до часа», — сказал Алекс Беренс, менеджер по маркетингу Forta.)
В 8:59 по британскому времени в понедельник, 11 марта, компания PeckShield, занимающаяся безопасностью блокчейна, разместила в социальных сетях «Привет, @eulerfinance: возможно, вы захотите взглянуть» и ссылку на страницу, показывающую, что кошелек взломал поставку стейблкоинов Euler DAI, с украдено более 8,7 млн долларов.
Затем все наблюдали, как Эйлера снова и снова бьют. Хакер украл 18,5 миллионов долларов в WBTC, затем 116 миллионов долларов в stETH... В конце концов хакер получил прибыль в размере 197 миллионов долларов, и весь резерв Эйлера из 6 токенов был уничтожен.
В 9:56 Эйлер процитировал PeckShield в социальных сетях: «Мы понимаем, что наша команда в настоящее время работает со специалистами по безопасности и правоохранительными органами. Мы опубликуем дополнительную информацию, как только она у нас будет».
Поскольку это криптовалюта, каждый может увидеть средства в кошельке хакера. Изучив транзакции кошелька, эксперты по безопасности смогли перепроектировать атаку, в конечном итоге обнаружив единственную уязвимость, которая привела к краже. Но также из-за того, что это была криптовалюта, у команды Эйлера не было возможности связать кошелек с реальной личностью или понять намерения хакера.
13 марта последним действием хакеров было отправить 100 ETH (на тот момент это стоило 168 000 долларов) через Tornado Cash, «гибридный» протокол транзакций на Ethereum, который затрудняет отслеживание средств. Тогда адрес кошелька молчит.
В 10:47 той ночью команда Euler отправила сообщение на хакерский кошелек, в котором говорилось: «Мы понимаем, что вы несете ответственность за сегодняшнюю утреннюю атаку на платформу Euler. Мы пишем, чтобы узнать, хотите ли вы обсудить любые возможные следующие шаги. с нами." Это предварительное сообщение знаменует собой начало трех трудных недель для команды Эйлера.
На следующий день в 21:22 команда Эйлера отправила еще одно сообщение на кошелек хакера, предлагая вернуть 90% украденных средств в течение 24 часов, оставив хакеру де-факто удержать вознаграждение за обнаружение ошибок в размере 20 миллионов долларов. В противном случае Эйлер предлагает вознаграждение в размере 1 миллиона долларов любому, кто предоставит информацию, ведущую к аресту хакера.
Хакер не ответил.
15 марта в 11:20 команда Euler отправила еще одно сообщение на кошелек хакера, повторяя предыдущее предложение вознаграждения за обнаружение ошибок. «Тогда расследование может быть остановлено, и основное внимание может быть переключено на распространение его обратно среди пользователей протокола, не идя по законному пути», — написала команда Эйлера.
В 22:06, после того как хакеры замолчали, команда Эйлера объявила вознаграждение в размере 1 миллиона долларов за информацию, которая приведет к аресту хакера и возврату средств. На следующий день соучредитель и генеральный директор Euler доктор Майкл Бентли поделился своей реакцией на атаку, назвав предыдущие несколько дней самыми тяжелыми в своей жизни и выразив свое горе по пострадавшим пользователям.
«Мне пришлось пожертвовать временем с моим новорожденным сыном», — написал Бентли в Твиттере. «Я никогда не прощу злоумышленников, но они могут исправить свои ошибки и вернуть средства в казну EulerDAO в кратчайшие сроки».
Изображение предоставлено: Instagram @federicojaimeok
Федерико Хайме утверждает, что никогда не собирался оставлять деньги себе. «Я с самого начала знал, что 200 миллионов долларов — это немало, это нанесет огромный ущерб сообществу DeFi, и это вовсе не было моей целью».
Мы все хотели бы знать, хотя бы на мгновение, задумывался ли когда-нибудь Федерико о том, что можно купить за 200 миллионов долларов, воображая, что живет в особняке? На яхте?
«Никогда, ни в коем случае, потому что я предприниматель. Я могу зарабатывать деньги легально и безупречно. Мне не нужно воровать. У меня нет причин брать чужие деньги».
Для большинства людей такой комментарий был бы не чем иным, как закатыванием глаз. В конце концов, криптосообщество не славится своей скромностью. Но я видел фотографии, на которых Федерико путешествует по Европе, останавливается в пятизвездочных отелях и носит дизайнерскую уличную одежду. В наших разговорах по телефону и случайных текстовых сообщениях я спросил Федерико, которому в июне исполняется 20 лет, как он поддерживает свой образ жизни.
Федерико вырос в Буэнос-Айресе со своими родителями и младшей сестрой. Вдохновленный своим отцом, инженером-программистом, он научился программировать в 12 лет и продал свою первую программу, плагин для видеоигры Minecraft, за 10 000 долларов в 14 лет. «Это означает свободу, потому что мне больше не нужно просить денег у родителей, и они мне аплодируют».
Когда он вырос, Федерико перешел к новой игре, GTA V, где он разработал анти-чит-систему для пользовательского многопользовательского сервера, управляемого несгибаемыми фанатами игры. «Я обнаружил ошибку чтения памяти. Я увидел, что мы можем получить от этого прибыль», — сказал Федерико, добавив, что программное обеспечение FiveGuard теперь принадлежит кому-то другому. «Это особенное, потому что, когда вы попадаете на игровой сервер с каким-то несправедливым преимуществом, вас немедленно банят».
Изначально Федерико планировал поступить на юридический факультет в Аргентине, но после окончания в 2020 году и борьбы с новой коронной эпидемией (в Буэнос-Айресе много местных ограничений и длительный период карантина) Федерико, получив согласие родителей, решил взять длительный отпуск перед колледжем.
В начале октября прошлого года Федерико отправился в Рим. В декабре он якобы напал на Buenbit, криптовалютную биржу, работающую в Аргентине, Мексике и Перу, и украл сотни тысяч долларов. Генеральный директор Buenbit Федерико Ог охарактеризовал атаку как мошенническую. В новостях со ссылкой на источники в полиции стоимость нападения оценивается в 800 000 долларов, но Федерико отрицает эту цифру.
Федерико не стал комментировать детали дела, и хотя он признал, что нацелился на Буэнбита, он также заявил, что многие из наиболее интересных подробностей в сообщениях СМИ были либо вводящими в заблуждение, либо откровенно сфабрикованными. 20-летний мужчина настаивает на своей невиновности в этом деле, отмечая, что он и его адвокат поддерживают связь с командой Буэнбита и надеются, что вопрос будет решен как можно скорее.
И, всего через несколько месяцев, у Федерико появились новые заботы, на этот раз 200 миллионов.
![19-летний хакер Эйлера три недели не мог пройти мимо 200 миллионов долларов] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Изображение предоставлено: Instagram @federicojaimeok
На момент атаки у Euler Finance было 7000 пользователей. Через два дня, 15 марта, одна из жертв решила отправить сообщение на кошелек хакера (кошелек Федерико).
"Пожалуйста, рассмотрите возможность возврата 90%/80%. У меня всего 78 wstETH, и как пользователь, который сохранил свои сбережения в Euler, я не кит и не миллионер". Он написал, что аргентинец назвал разработчиков Santiago Avalos Blockchain. «Вы не можете себе представить, в каком хаосе я сейчас нахожусь, полностью опустошенный… Ваше решение станет облегчением для многих пострадавших».
Сбережения Авалоса в размере 78 wstETH в то время стоили более 140 000 долларов. Через тринадцать часов после того, как Авалос отправил сообщение, Федерико ответил, но не в текстовом сообщении. Вместо этого Федерико сделал свой первый шаг после взлома три дня назад, отправив 100 ETH в Avalos, что примерно на 27 000 долларов больше, чем жертва потеряла в результате краха Эйлера. Авалос перевел лишние средства обратно Эйлеру, сказав: «Я полагаю, что мое сообщение могло его тронуть».
«Это жест моего сердца», — сказал Федерико о своей мотивации вернуть средства. «Я был великодушен. Кроме того, позже я узнал, что этот парень… тоже был аргентинцем и разработчиком Solidity», — добавил он. «Это действительно очень интересное совпадение».
Федерико еще не завершил перевод средств. В сочетании с тем фактом, что он дважды отправил себе в общей сложности 1100 ETH через Tornado Cash, его доход составляет почти 2 миллиона долларов. Когда я спросил его, почему, Федерико сказал мне: "Я не думал об этом. Я думал, что если они дадут мне 10% награды, это слишком много для меня. Я постараюсь взять 1%". ”
Его следующий ход, безусловно, самый запутанный. 17 марта, незадолго до 5 утра, Федерико снова отправил 100 ETH, на этот раз на печально известный кошелек, который годом ранее осуществил один из крупнейших взломов криптовалюты в истории — с моста Ронин украл более 600 миллионов долларов. Всего через месяц Управление иностранных активов и контроля Министерства финансов США (OFAC) официально связало уязвимость Ronin Bridge с группой Lazarus.
Но когда я спросил его об этом, его объяснение поразило меня. «Я понятия не имел, что это Северная Корея. Я никогда не подозревал об этом», — начал он. «Причиной, по которой я отправил 100 ETH эксплуататорам Ronin, было чистое восхищение… Я думаю, от белых хакеров до черных хакеров, я хотел выразить свое восхищение».
Я был ошеломлен, и Федерико тоже это увидел. «Я знаю, вы не ожидали, что я скажу это, но это правда», — ответил он. «Я думаю, что это самая важная область в мире сегодня, и взлом Ронина был инженерным актом. В этом смысле это достойно восхищения… Демоны могут быть красивыми женщинами».
На следующий день Федерико начал возвращать средства, первоначально тремя частями по 1000 ETH каждый, что на тот момент составляло примерно 5,4 миллиона долларов. Затем его бумажник снова стал бездействующим. В то время аналитики скептически относились к тому, что Эйлер сможет вернуть оставшиеся средства.
Но два дня спустя, 20 марта, Федерико отправил свое первое сообщение команде Эйлера: «Мы хотим облегчить жизнь всем, кого это касается. Мы не собираемся оставлять себе вещи, которые нам не принадлежат. Настройте безопасную связь. сделка."
Федерико признал, что новость была немного запоздалой: «Я пытался решить, было ли хорошей идеей оставить себе 20 миллионов долларов… потому что это то, что предложил мне Эйлер», — сказал он. «Я был действительно неподготовленным, неопытным и новичком… Я не спал днями, неделями, но в конце дня я знал, что должен вернуть его, и я знал, что не хочу этого делать. любой ущерб пользовательской базе Эйлера».
Тем не менее, Федерико потребовалось некоторое время, чтобы вернуть средства. 25 марта около 15:00 впервые было замечено 81 953 ETH (примерно 143 миллиона долларов). Затем, 27-го числа, последовали DAI на 10 миллионов долларов. В 3 часа ночи 28-го числа Федерико публично извинился, сказав: «Я облажался. Я не хотел, но я испортил чужие деньги, чужую работу, чужие жизни… пожалуйста, прости меня». некоторые средства все еще находились под его контролем.
Наконец, 3 апреля команда Эйлера взволнованно объявила, что после нескольких последних транзакций хакера все «возмещаемые средства» были возвращены. Эйлер также официально отменил награду в 1 миллион долларов за голову Федерико. Возврат средств стал одним из самых успешных восстановлений в истории DeFi, и Федерико почувствовал облегчение, что все закончилось.
Затем, два с половиной месяца спустя, кошелек Федерико снова стал активным, отправляя сообщения самому себе. Первый был 17 июня, всего в двух словах: «Ben yre» — Буэнос-Айрес. Семнадцать минут спустя из кошелька пришло еще одно сообщение, также на испанском языке, в котором утверждалось, что он аргентинец, перонист и хакер в белой шляпе. Совет в сообщении коллегам-хакерам: «Не будь глупым, не воруй, заработай награду».
В конце сообщения кошелек привязан к аккаунту в Instagram — @federicojaimeok. Я отправил ему личное сообщение. Мы начали общаться в Instagram, где хранятся истории Федерико с сентября 2022 года, а затем пообщались в Telegram. Во время нашего разговора все, что мне рассказал этот человек, совпало с тем, что я узнал о Федерико из других источников. Федерико также предоставил мне номер телефона своего отца, который подтвердил свою личность и родство с Федерико, а также другую информацию, совпадающую с тем, что сообщил мне Федерико.
Федерико сказал мне, что решил появиться не для собственной выгоды, а для пользы сообщества DeFi. «Я хочу поощрять этичный взлом, это главная причина, и я хочу иметь право голоса и говорить людям, чтобы они поступали правильно».
Федерико также надеется, что тактика переговоров Эйлера со злоумышленниками создаст прецедент для других частей DeFi. "Я уверен, что хакерская сцена в децентрализованных финансах будет другой после взлома Эйлера. Я думаю, что это показывает миру важность аудита и важность переговоров после взлома", - сказал он.
Эрин Планте, вице-президент по расследованиям в Chainalysis, сказала: «Однако не все в сфере криптовалют с энтузиазмом относятся к тому, что вознаграждение за обнаружение ошибок и переговоры с хакерами становятся нормой. Большинство взломов DeFi не начинаются с законных вознаграждений за обнаружение ошибок. 500 000 долларов, часто требуют 50% и более от общей суммы украденных средств в качестве комиссии, что больше похоже на вымогательство».
Планте также отметил, что по мере того, как правоохранительные органы лучше отслеживают незаконные криптовалюты, хакерам становится все труднее обналичивать свои выигрыши. «В этом контексте, в сочетании с коллективным снижением наград в отрасли, мы надеемся, что стимулы для хакеров выполнять работу изменятся», — сказала она.
Федерико неоднократно уверял меня, что его план с самого начала состоял в том, чтобы вернуть средства. Так почему же ему понадобилось три недели?
«Я хочу иметь время, чтобы защитить себя и найти способы быть в безопасности, юридически или иначе», — сказал он.
Конечно, некоторые утверждения Федерико невозможно проверить. Федерико сказал мне, что разработка и реализация протокола — это полностью его работа («Я все сделал сам»), хотя иногда он получает совет от коллеги, например, список протоколов DeFi для исследования (что больше похоже на маскировку участие других, поскольку невозможно определить, кто написал код, по имеющимся у нас данным в сети.)
Мы также никогда не узнаем, сохранил бы Федерико деньги, если бы лучше спланировал нападение. Он признался мне, что сожалеет о том, что не подумал о последствиях, но сказал, что нужно просто поступать правильно. «Я просто не планировал достаточно, и сумма была слишком большой, чтобы я мог справиться», — сказал он.
Федерико сказал мне, что сожалеет о боли, которую причинил команде Эйлера. «Когда я прочитал твит Майкла Бентли о том, что ему пришлось пожертвовать временем со своей семьей, это разбило мне сердце», — сказал он. Когда я спросил его, обеспокоен ли он будущими последствиями нападения, он отклонил эти опасения. «Я уверен, что юридически команда Эйлера не сможет отследить меня задним числом, поскольку это помешает будущим хакерам вернуть средства».
К радости (и почти недоверию) жертв, 12 апреля Euler Finance начала выплачивать компенсацию пострадавшим от нападения. Воздействие уязвимости распространилось на 11 других протоколов DeFi. Один из них (протокол доходности) не возобновлялся до 27 июня. Euler Finance был парализован после взлома.
Федерико, все еще находящийся в Европе, охарактеризовал свою личную ситуацию как «сложную», но сказал, что надеется вскоре вернуться в Буэнос-Айрес, чтобы продолжить учебу. «Моя жизнь не была такой легкой после взлома Эйлера, и это оставило меня в стрессе».
Я спросил Федерико, думает ли он, что Бог, по-видимому, отвечая на его молитвы, преподает ему урок. «Я думаю, что он либо играет со мной в игру, либо (испытывает) меня», — ответил он.
Федерико еще не решил.