КолонкаОбщество

Баллада о благородном крипторазбойнике

Анонимный хакер совершил крупнейшую кражу в истории, а потом вернул все 611 миллионов долларов обратно

Этот материал вышел в номере № 94 от 25 августа 2021
Читать
Петр Саруханов / «Новая газета»

Петр Саруханов / «Новая газета»

Читатель наверняка уже слышал о том, что в бармалейной Африке — опасном мире криптовалютного беспредела — на днях похитили 611 миллионов долларов. Прояви журналисты усидчивость и пошерсти анналы, можно было даже усилить фактуру, сказав, что украденная сумма более чем в два раза превышает самую выдающуюся банковскую кражу в истории человечества (в 2007 году из иракского частного банка Dar Es Salaam Bank увели 282 миллиона долларов — ищут, вернее не ищут, по сей день).

Стращает обывателей РБК: «Хакеры похитили $611 млн в результате взлома проекта Poly Network. Преступники вывели порядка $273 млн в токенах на блокчейне Ethereum, $253 млн в монетах Binance Smart Chain и $85 млн в токенах сети Polygon».

В абракадабру про полигоны-бинансы-этереумы читатель, разумеется, не въезжает, однако ошеломительный порядок цифр, подкрепленный триггерным словом «преступники», успешно создает целевую коннотацию: «Буратины! Не вздумайте совать свой нос в криптоадище! Даже до Поля Чудес не успеете доползти — обдерут как липку еще на подходе!»

Спешу успокоить читателя — вовсе не собираюсь доказывать обратное: криптоэкономика — это и в самом деле адище, потому что она анонимна, децентрализована и никому не подконтрольна. Как следствие, вся гнилая природа Homo sapiens вылезает наружу во всей своей неприглядной красе. Если уж обывателя берут на гоп-стоп в питерской (ростовской, одесской, нью-йоркской) подворотне среди бела дня прямо под оком понатыканных на каждом углу камер видеонаблюдения, то что же говорить про мир криптовалют. Мир, в котором маска Гая Фокса — самый популярный прикид, а анонимные разработчики DeFi-проектов контролируют в своих смарт-контрактах десятки миллиардов долларов.

Не буду разубеждать читателя и в том, что его оберут как липку, если он не будет досконально понимать каждое свое телодвижение в криптомире, каждую подписанную транзакцию, каждое взаимодействие со смарт-контрактом.

Вместо этого расскажу читателю совсем другую историю, которая, на мой взгляд, еще более ошеломительна, чем сам факт хищения 611 миллионов долларов.

Сюжет такой. После того как хакер взломал смарт-контракты платформы Poly Network, сохранив при этом полную анонимность, а значит, и обеспечив себе полную безнаказанность, он выдержал театральную паузу, а затем… все деньги вернул!

Вы только вдумайтесь: аноним похитил 611 миллионов долларов и в ситуации полной личной безопасности, безо всякого принуждения деньги добровольно вернул,

пожурив разработчиков за непростительную халатность. Хочу спросить профессиональных историков: зафиксировано ли за 5 тысяч лет письменной речи нечто подобное? Был ли прецедент?

Итак, хакер деньги вернул, а обескураженные обитатели риаллайфа мучительно обмусоливают мотивацию. Разумеется, с колокольни собственных жизненных ценностей. Консенсус, который мне удалось вычленить из множества публикаций (от Forbes и CNBC до TACC и «Секрета фирмы»): «злоумышленник» испугался!» Его, мол, прижучили, вычислили IP-адрес, электронную почту, транзакции, связывающие его счета в DeFi-сетях со счетами на централизованных криптобиржах, где все проходят процедуру KYC (Know Your Customer, «Знай своего клиента»), а значит, поимка преступника — вопрос времени. Поэтому злодей решил не доводить до сумы-тюрьмы и сделал превентивный шаг — вернуть средства добровольно.

Надо признать, что журналисты не сами придумали этот наивный бред, а опирались на браваду коммерческих структур, специализирующихся на блокчейн-аналитике и сетевых расследованиях.

В частности, контора под названием SlowMist заявила, что располагает информацией об «электронной почте, IP и цифровом отпечатке устройства, которое использовал взломщик, и теперь «готова всем этим поделиться с Poly Network, если им понадобится». Разумеется, Poly Network вся эта ерунда не понадобилась, потому что Poly Network волновала не пиар-бравада SlowMist, рассчитанная на непосвященного обывателя, а судьба 611 миллионов долларов, принадлежащих их пользователям и украденных по вине разработчиков.

К разговорам о том, что хакера вот-вот схватят и ему пора сдаваться, подключились руководители централизованных криптобирж (Hoo и Binance), а также сами проштрафившиеся разрабы из Poly Network. Сразу после потери колоссальных средств Poly Network опубликовал в своем твиттере обращение к хакеру, которое произвело на понимающих людей удручающе жалкое впечатление:

«Уважаемый Хакер,

Мы команда Poly Network.

Мы хотим установить с Вами канал связи и уговорить Вас вернуть похищенные активы.

Сумма похищенных Вами денег самая большая в истории децентрализованных финансов. Силы правопорядка во всех странах будут оценивать Ваши действия как крупное экономическое преступление и будут Вас преследовать. С Вашей стороны было бы неосмотрительно совершать дальнейшие транзакции. Вы украли деньги, которые принадлежат десяткам тысяч членов криптосообщества, обычным людям. Вы должны поговорить с нами для поиска выхода из ситуации».

Изображение

Такая вот печальная смесь лести, угроз, беспомощности и косноязычия. Но представьте себе, что хакер тут же откликнулся и пошел на контакт. Только не потому, что испугался или поддался на уговоры, как решили журналисты риаллайфа, а по совершенно иным соображениям.

Криптомир — удивительное место уже потому, что сочетает в себе высшую степень анонимности с такой же высшей степенью открытости. Все транзакции, все денежные переводы, все т.н. «кошельки» (так условно называются уникальные адреса пользователей криптосети) отражаются в блокчейне — то есть в публичном реестре, поэтому информация о них доступна любому желающему.

Вот, например, «кошелек» хакера, в котором можно наблюдать с точностью до секунды и цента, куда, кому и сколько он переводил криптоактивов:

Изображение

Поддержите
нашу работу!

Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ

Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68

Примечательна вторая строка: хакер возвращает почти 97 миллионов долларов (в стейблкоине DAI, привязанном к курсу американской валюты) одной транзакцией.

Абсолютная открытость блокчейна, однако, в достаточной степени иллюзорна, поскольку мы видим переводы с одного «кошелька» на другой, при этом сами «кошельки» — всего лишь бессмысленный набор цифр и букв, за которым скрываются анонимные пользователи. И узнать, кто эти пользователи в реальной жизни, вопреки браваде криптодетективных агенств, при соблюдении элементарных правил безопасности практически невозможно.

На эту невозможность и не преминул указать хакер, с удовольствием пошедший на контакт с командой Poly Network. Он дал понять, что IP-адреса, электронная почта, цифровые отпечатки его устройств, якобы обнаруженные SlowMist, никакого отношения к его подлинной идентичности не имеют. Неужели кто-то до того наивен, чтобы полагать, что гениальный программист, обнаруживший не имеющую прецедентов в истории уязвимость в смарт-контрактах Poly Network, незнаком с правилами элементарной цифровой гигиены?

Все средства для взлома поступили не со счетов хакера на централизованных биржах (вероятнее всего, у него таких вообще нет, и уж подавно он никогда в жизни не проходил бы KYC), а в результате обмена принадлежавших ему токенов Monero, анонимной криптовалюты, которая вообще не поддается идентификации. (Забавно, что еще одна «аналитическая контора» CipherTrace уже не первый год вешает лапшу своим корпоративным клиентам о том, что якобы ей удалось разработать алгоритм, отслеживающий движение анонимных средств в сети Monero.)

Хакер обращался к команде Poly Network через тот же самый блокчейн, размещая все свои реплики в специальном поле для дополнительной информации (Input Data), которое присутствует в каждой транзакции. Транзакций было много, поэтому переписка разрослась в эпическую поэму, с которой также может ознакомиться любой желающий.

Я приведу лишь несколько высказываний «злоумышленника», проливающих свет на его мотивацию:

  • «Деньги меня не интересуют, думаю, что верну какие-то токены или просто оставлю их лежать на этом счете»
  • «Заполучить такое состояние — это уже легенда. Вечной же легендой станет спасение мира. Я принял решение»
  • «Обращение к «жертвам»: не хочу сказать, что команда Poly Network не заслуживает доверия, но никто из вас не имеет возможности бросить вызов их коду, а ведь это должно быть Законом. Не беспокойтесь, никакие вы не жертвы. Я вас спас!»
  • «Обращение к новичкам в крипте: в мире DeFi закон — это код. А кто же здесь арбитр? Мы, хакеры, мы вооружены. Если у тебя есть оружие и ты охраняешь миллиарды от толпы, оставаясь анонимным, кем ты захочешь стать — террористом или Бэтменом?»
  • «Обращение к новичкам в вопросах безопасности: не существует совершенных систем. Не нужно обвинять команду Poly Network или их аудиторов. Мой опыт говорит, что это нетривиальная задача — в одиночку разобраться во всей логике системы Poly Network, это гораздо сложнее, чем отловить мелкий баг. Мне важно, чтобы вы усвоили главное: нельзя делать ставку всей своей жизни на что-то, в чем ты никогда не разберешься».


Мне попадались на глаза комментарии серьезных криптоаналитиков и экспертов, в которых они указывали на эмоциональную неуравновешенность хакера, его истеричность, нарциссизм и манию величия. По моим ощущениям, эти психологические клише в данной ситуации абсолютно неуместны. Нельзя сублимировать в подобных высокопарно-снисходительных разговорах наш собственный страх от непонимания единственно в этой истории важного и главного: КАК можно получить в полное распоряжение столь немыслимую сумму денег и затем равнодушно вернуть все обратно? Причем не важно, под каким соусом это возвращается — ради самолюбования, ради урока нерадивым разработчикам Poly Network или ради предупреждения пользователей DeFi, не отдающих себе отчет о рисках и не понимающих, куда и зачем они вкладывают свои деньги. Важен исключительно сам факт возврата денег!

Итак, почему хакер отказался от добычи? Лично у меня нет ни малейших сомнений: потому что деньги в системе ценностей этого хакера не являются высшей ценностью.

Показательно, что после возврата всех средств команда Poly Network предложила Мистеру Белая шляпа (так они окрестили хакера, подчеркивая его «светлую» природу, в отличие от «черных шляп» — хакеров, озабоченных исключительно личным обогащением) премию в размере 500 тысяч долларов на более чем легальных основаниях: и за добровольный возврат денег, и за обнаружение опаснейшей уязвимости. Знаете, как отреагировал Мистер Белая шляпа на предложение? Отказался и от этих денег тоже!

Даже не знаю, как объяснить читателю, что я сейчас описываю. Кого описываю. Может быть, это поможет: «Неприятие старой этики легко экстраполируется на неприятие поколением Z и материальных ценностей уходящей цивилизации. Речь о сложившемся в нашем мире культе денег, который давно уже смотрится анахронизмом в контексте достигнутого уровня технологического развития» («Бумер умер»).

Читайте также

Бумер умер

Бумер умер

Почему старшим поколениям уже не понять людей, выросших в новой технологической реальности

Я убежден, что мы имеем в истории со взломом Poly Network дело не с безумным, гениальным и неповторимым индивидом, а с проецированием ментальности нового поколения на денежные отношения. Тем более что возврат украденных хакером денег в DeFi — если не норма, то очень часто повторяющийся паттерн. В августе 2020-го, на самой заре революции DeFi, создатель анонимного проекта SuchiSwap по прозвищу Шеф Номи сначала украл все средства из Казны обменного протокола, а через несколько дней их вернул. С такой вот покаянной запиской:


«Я хочу извиниться перед всеми за все, что совершил.

Я поддался эмоциям, я дал волю жадности, я испугался. Я принял плохие и противоречивые решения под давлением. И доставил всем боль. Я не оправдал ваши ожидания, и я очень сожалею об этом. Возвращаю обратно в казну все 14 миллионов долларов в токене ETH».

Можно, конечно, дать полную волю собственной порочности и порезонерствовать, что, мол, стало стыдно, совесть замучила. Или еще лучше — поймали за руку, не мог отвертеться и прочие отмазки из арсенала риаллайфа. В конце концов, мерить окружающий мир аршином собственной порочности — это очень даже humanum est.

Мне же приятнее верить, что в описанных историях мы имеем дело не с «белыми воронами» и «белыми хакерами», а именно с новым типом ментальности, которую массово адаптирует новое поколение, не желающее переносить в свою естественную среду обитания — цифровой мир — уродливую шкалу ценностей уходящей, слава богу, в прошлое цивилизации риаллайфа.

Поддержите
нашу работу!

Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ

Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68

shareprint
Добавьте в Конструктор подписки, приготовленные Редакцией, или свои любимые источники: сайты, телеграм- и youtube-каналы. Залогиньтесь, чтобы не терять свои подписки на разных устройствах
arrow