Колонка · Общество

Баллада о благородном крипторазбойнике

Анонимный хакер совершил крупнейшую кражу в истории, а потом вернул все 611 миллионов долларов обратно

Этот материал вышел в № 94 от 25 августа 2021
Читать номер
Этот материал вышел
в № 94 от 25 августа 2021
18:01, 17 августа 2021Сергей Голубицкий, журналист, автор проектов minoa.biz и vcollege.biz
views

14109

18:01, 17 августа 2021Сергей Голубицкий, журналист, автор проектов minoa.biz и vcollege.biz
views

14109

Петр Саруханов / «Новая газета»

Читатель наверняка уже слышал о том, что в бармалейной Африке — опасном мире криптовалютного беспредела — на днях похитили 611 миллионов долларов. Прояви журналисты усидчивость и пошерсти анналы, можно было даже усилить фактуру, сказав, что украденная сумма более чем в два раза превышает самую выдающуюся банковскую кражу в истории человечества (в 2007 году из иракского частного банка Dar Es Salaam Bank увели 282 миллиона долларов — ищут, вернее не ищут, по сей день).

Стращает обывателей РБК: «Хакеры похитили $611 млн в результате взлома проекта Poly Network. Преступники вывели порядка $273 млн в токенах на блокчейне Ethereum, $253 млн в монетах Binance Smart Chain и $85 млн в токенах сети Polygon».

В абракадабру про полигоны-бинансы-этереумы читатель, разумеется, не въезжает, однако ошеломительный порядок цифр, подкрепленный триггерным словом «преступники», успешно создает целевую коннотацию: «Буратины! Не вздумайте совать свой нос в криптоадище! Даже до Поля Чудес не успеете доползти — обдерут как липку еще на подходе!»

Спешу успокоить читателя — вовсе не собираюсь доказывать обратное: криптоэкономика — это и в самом деле адище, потому что она анонимна, децентрализована и никому не подконтрольна. Как следствие, вся гнилая природа Homo sapiens вылезает наружу во всей своей неприглядной красе. Если уж обывателя берут на гоп-стоп в питерской (ростовской, одесской, нью-йоркской) подворотне среди бела дня прямо под оком понатыканных на каждом углу камер видеонаблюдения, то что же говорить про мир криптовалют. Мир, в котором маска Гая Фокса — самый популярный прикид, а анонимные разработчики DeFi-проектов контролируют в своих смарт-контрактах десятки миллиардов долларов.

Не буду разубеждать читателя и в том, что его оберут как липку, если он не будет досконально понимать каждое свое телодвижение в криптомире, каждую подписанную транзакцию, каждое взаимодействие со смарт-контрактом.

Вместо этого расскажу читателю совсем другую историю, которая, на мой взгляд, еще более ошеломительна, чем сам факт хищения 611 миллионов долларов.

Сюжет такой. После того как хакер взломал смарт-контракты платформы Poly Network, сохранив при этом полную анонимность, а значит, и обеспечив себе полную безнаказанность, он выдержал театральную паузу, а затем… все деньги вернул!

Вы только вдумайтесь: аноним похитил 611 миллионов долларов и в ситуации полной личной безопасности, безо всякого принуждения деньги добровольно вернул,

пожурив разработчиков за непростительную халатность. Хочу спросить профессиональных историков: зафиксировано ли за 5 тысяч лет письменной речи нечто подобное? Был ли прецедент?

Итак, хакер деньги вернул, а обескураженные обитатели риаллайфа мучительно обмусоливают мотивацию. Разумеется, с колокольни собственных жизненных ценностей. Консенсус, который мне удалось вычленить из множества публикаций (от Forbes и CNBC до TACC и «Секрета фирмы»): «злоумышленник» испугался!» Его, мол, прижучили, вычислили IP-адрес, электронную почту, транзакции, связывающие его счета в DeFi-сетях со счетами на централизованных криптобиржах, где все проходят процедуру KYC (Know Your Customer, «Знай своего клиента»), а значит, поимка преступника — вопрос времени. Поэтому злодей решил не доводить до сумы-тюрьмы и сделал превентивный шаг — вернуть средства добровольно.

Надо признать, что журналисты не сами придумали этот наивный бред, а опирались на браваду коммерческих структур, специализирующихся на блокчейн-аналитике и сетевых расследованиях.

В частности, контора под названием SlowMist заявила, что располагает информацией об «электронной почте, IP и цифровом отпечатке устройства, которое использовал взломщик, и теперь «готова всем этим поделиться с Poly Network, если им понадобится». Разумеется, Poly Network вся эта ерунда не понадобилась, потому что Poly Network волновала не пиар-бравада SlowMist, рассчитанная на непосвященного обывателя, а судьба 611 миллионов долларов, принадлежащих их пользователям и украденных по вине разработчиков.

К разговорам о том, что хакера вот-вот схватят и ему пора сдаваться, подключились руководители централизованных криптобирж (Hoo и Binance), а также сами проштрафившиеся разрабы из Poly Network. Сразу после потери колоссальных средств Poly Network опубликовал в своем твиттере обращение к хакеру, которое произвело на понимающих людей удручающе жалкое впечатление:

«Уважаемый Хакер,

Мы команда Poly Network.

Мы хотим установить с Вами канал связи и уговорить Вас вернуть похищенные активы.

Сумма похищенных Вами денег самая большая в истории децентрализованных финансов. Силы правопорядка во всех странах будут оценивать Ваши действия как крупное экономическое преступление и будут Вас преследовать. С Вашей стороны было бы неосмотрительно совершать дальнейшие транзакции. Вы украли деньги, которые принадлежат десяткам тысяч членов криптосообщества, обычным людям. Вы должны поговорить с нами для поиска выхода из ситуации».


Такая вот печальная смесь лести, угроз, беспомощности и косноязычия. Но представьте себе, что хакер тут же откликнулся и пошел на контакт. Только не потому, что испугался или поддался на уговоры, как решили журналисты риаллайфа, а по совершенно иным соображениям.

Криптомир — удивительное место уже потому, что сочетает в себе высшую степень анонимности с такой же высшей степенью открытости. Все транзакции, все денежные переводы, все т.н. «кошельки» (так условно называются уникальные адреса пользователей криптосети) отражаются в блокчейне — то есть в публичном реестре, поэтому информация о них доступна любому желающему.

Вот, например, «кошелек» хакера, в котором можно наблюдать с точностью до секунды и цента, куда, кому и сколько он переводил криптоактивов:


Примечательна вторая строка: хакер возвращает почти 97 миллионов долларов (в стейблкоине DAI, привязанном к курсу американской валюты) одной транзакцией.

Абсолютная открытость блокчейна, однако, в достаточной степени иллюзорна, поскольку мы видим переводы с одного «кошелька» на другой, при этом сами «кошельки» — всего лишь бессмысленный набор цифр и букв, за которым скрываются анонимные пользователи. И узнать, кто эти пользователи в реальной жизни, вопреки браваде криптодетективных агенств, при соблюдении элементарных правил безопасности практически невозможно.

На эту невозможность и не преминул указать хакер, с удовольствием пошедший на контакт с командой Poly Network. Он дал понять, что IP-адреса, электронная почта, цифровые отпечатки его устройств, якобы обнаруженные SlowMist, никакого отношения к его подлинной идентичности не имеют. Неужели кто-то до того наивен, чтобы полагать, что гениальный программист, обнаруживший не имеющую прецедентов в истории уязвимость в смарт-контрактах Poly Network, незнаком с правилами элементарной цифровой гигиены?

Все средства для взлома поступили не со счетов хакера на централизованных биржах (вероятнее всего, у него таких вообще нет, и уж подавно он никогда в жизни не проходил бы KYC), а в результате обмена принадлежавших ему токенов Monero, анонимной криптовалюты, которая вообще не поддается идентификации. (Забавно, что еще одна «аналитическая контора» CipherTrace уже не первый год вешает лапшу своим корпоративным клиентам о том, что якобы ей удалось разработать алгоритм, отслеживающий движение анонимных средств в сети Monero.)

Хакер обращался к команде Poly Network через тот же самый блокчейн, размещая все свои реплики в специальном поле для дополнительной информации (Input Data), которое присутствует в каждой транзакции. Транзакций было много, поэтому переписка разрослась в эпическую поэму, с которой также может ознакомиться любой желающий.

Я приведу лишь несколько высказываний «злоумышленника», проливающих свет на его мотивацию:

  • «Деньги меня не интересуют, думаю, что верну какие-то токены или просто оставлю их лежать на этом счете»
  • «Заполучить такое состояние — это уже легенда. Вечной же легендой станет спасение мира. Я принял решение»
  • «Обращение к «жертвам»: не хочу сказать, что команда Poly Network не заслуживает доверия, но никто из вас не имеет возможности бросить вызов их коду, а ведь это должно быть Законом. Не беспокойтесь, никакие вы не жертвы. Я вас спас!»
  • «Обращение к новичкам в крипте: в мире DeFi закон — это код. А кто же здесь арбитр? Мы, хакеры, мы вооружены. Если у тебя есть оружие и ты охраняешь миллиарды от толпы, оставаясь анонимным, кем ты захочешь стать — террористом или Бэтменом?»
  • «Обращение к новичкам в вопросах безопасности: не существует совершенных систем. Не нужно обвинять команду Poly Network или их аудиторов. Мой опыт говорит, что это нетривиальная задача — в одиночку разобраться во всей логике системы Poly Network, это гораздо сложнее, чем отловить мелкий баг. Мне важно, чтобы вы усвоили главное: нельзя делать ставку всей своей жизни на что-то, в чем ты никогда не разберешься».


Мне попадались на глаза комментарии серьезных криптоаналитиков и экспертов, в которых они указывали на эмоциональную неуравновешенность хакера, его истеричность, нарциссизм и манию величия. По моим ощущениям, эти психологические клише в данной ситуации абсолютно неуместны. Нельзя сублимировать в подобных высокопарно-снисходительных разговорах наш собственный страх от непонимания единственно в этой истории важного и главного: КАК можно получить в полное распоряжение столь немыслимую сумму денег и затем равнодушно вернуть все обратно? Причем не важно, под каким соусом это возвращается — ради самолюбования, ради урока нерадивым разработчикам Poly Network или ради предупреждения пользователей DeFi, не отдающих себе отчет о рисках и не понимающих, куда и зачем они вкладывают свои деньги. Важен исключительно сам факт возврата денег!

Итак, почему хакер отказался от добычи? Лично у меня нет ни малейших сомнений: потому что деньги в системе ценностей этого хакера не являются высшей ценностью.

Показательно, что после возврата всех средств команда Poly Network предложила Мистеру Белая шляпа (так они окрестили хакера, подчеркивая его «светлую» природу, в отличие от «черных шляп» — хакеров, озабоченных исключительно личным обогащением) премию в размере 500 тысяч долларов на более чем легальных основаниях: и за добровольный возврат денег, и за обнаружение опаснейшей уязвимости. Знаете, как отреагировал Мистер Белая шляпа на предложение? Отказался и от этих денег тоже!

Даже не знаю, как объяснить читателю, что я сейчас описываю. Кого описываю. Может быть, это поможет: «Неприятие старой этики легко экстраполируется на неприятие поколением Z и материальных ценностей уходящей цивилизации. Речь о сложившемся в нашем мире культе денег, который давно уже смотрится анахронизмом в контексте достигнутого уровня технологического развития» («Бумер умер»).

dubai-property.investmentsрекламарекламаДоступные квартиры для инвестиций ОАЭНедвижимость в ОАЭ. Доходность до 15%. Без посредников. Актуальная база объектов.Узнать большеУзнать больше

Читайте также

Читайте также

Бумер умер

Почему старшим поколениям уже не понять людей, выросших в новой технологической реальности

Я убежден, что мы имеем в истории со взломом Poly Network дело не с безумным, гениальным и неповторимым индивидом, а с проецированием ментальности нового поколения на денежные отношения. Тем более что возврат украденных хакером денег в DeFi — если не норма, то очень часто повторяющийся паттерн. В августе 2020-го, на самой заре революции DeFi, создатель анонимного проекта SuchiSwap по прозвищу Шеф Номи сначала украл все средства из Казны обменного протокола, а через несколько дней их вернул. С такой вот покаянной запиской:


«Я хочу извиниться перед всеми за все, что совершил.

Я поддался эмоциям, я дал волю жадности, я испугался. Я принял плохие и противоречивые решения под давлением. И доставил всем боль. Я не оправдал ваши ожидания, и я очень сожалею об этом. Возвращаю обратно в казну все 14 миллионов долларов в токене ETH».

Можно, конечно, дать полную волю собственной порочности и порезонерствовать, что, мол, стало стыдно, совесть замучила. Или еще лучше — поймали за руку, не мог отвертеться и прочие отмазки из арсенала риаллайфа. В конце концов, мерить окружающий мир аршином собственной порочности — это очень даже humanum est.

Мне же приятнее верить, что в описанных историях мы имеем дело не с «белыми воронами» и «белыми хакерами», а именно с новым типом ментальности, которую массово адаптирует новое поколение, не желающее переносить в свою естественную среду обитания — цифровой мир — уродливую шкалу ценностей уходящей, слава богу, в прошлое цивилизации риаллайфа.

Делаем честную журналистику вместе с вами

Каждый день мы рассказываем вам о происходящем в России и мире. Наши журналисты не боятся добывать правду, чтобы показывать ее вам.

В стране, где власти постоянно хотят что-то запретить, в том числе - запретить говорить правду, должны быть издания, которые продолжают заниматься настоящей журналистикой.

Ваша поддержка поможет нам, «Новой газете», и дальше быть таким изданием. Сделайте свой вклад в независимость журналистики в России прямо сейчас.
#криптовалюты #киберпреступления #кража #взлом

важно

3 часа назад

В возрасте 80 лет умер барабанщик The Rolling Stones Чарли Уоттс

выпуск

№ 94 от 25 августа 2021

Slide 1 of 6
  • № 94 от 25 августа 2021

Топ 6

1.
Исследование

В расход идут одни старики Россия потеряла от пандемии до 6,4 трлн рублей. Бюджет спасли за счет рекордной избыточной смертности

views

402238

2.
Интервью

«Врачи не могут не заметить отравления фосфорорганическими веществами» Доктор Андрей Волна о том, что не вошло в его экспертизу двух историй болезней Навального: официальной и неофициальной

views

194844

3.
Кожа времени

Прогрессоры Никакая свобода и демократия не нужны афганскому крестьянину, если его дочь накрасит губы. Цивилизационная катастрофа XXI века в Афганистане

views

179230

4.
Сюжеты

Огонь по своим Крушение российского БЕ-200 — следствие турецких внутриполитических разборок?

views

135886

5.
Комментарий

«Мам, я не могу это читать без словаря» Почему ребенка непременно надо убить русской классикой, задавить интерес к чтению танками? Мнение учителя

views

126705

6.
Комментарий

Вам пакет! Прощальный визит Ангелы Меркель в Киев сопровождают слухи о непубличных предложениях Зеленскому, которые она привезла от Путина

views

110887

Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
close

К сожалению, браузер, которым вы пользуетесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera