Dopo aver “rubato” 16 milioni di dollari, questo hacker adolescente sembra intenzionato a testare “il codice è legge” in tribunale

La scorsa settimana sono stati rubati circa 16 milioni di dollari in Criptovaluta tramite un exploit di un protocollo Finanza decentralizzata (DeFi), e le vittime ritengono di sapere esattamente chi è stato.

Nonostante le minacce del team, tuttavia, il presunto aggressore, uno studente universitario canadese adolescente, si rifiuta di restituire i fondi, preparando potenzialmente il terreno per un confronto legale senza precedenti.

Da ONE parte del conflitto c'è un bambino prodigio della matematica e un paladino schietto dell'etica autoregolante "il codice è legge" della DeFi. Dall'altra, una coppia di sviluppatori DeFi e i loro consulenti che si sono sentiti costretti a fare una serie senza precedenti di scelte etiche inquietanti per conto di una comunità DAO.

In gioco nella lotta ci sono una serie di questioni spinose che finora sono state oscurate con successo dalla crescita esplosiva della DeFi: qual è il ruolo delle forze dell'ordine in un settore non regolamentato da 220 miliardi di dollari? Quando, se mai, dovrebbero essere convocati i gendarmi? E, cosa più importante, la nozione di "codice è legge" è sufficiente per affrontare tutte le complessità etiche della DeFi?

Prima violazione

Il 14 ottobre, l'account Twitter ufficiale di Indexed, ungovernato da DAO Il protocollo DeFi ha segnalato un errore con due dei suoi pool di liquidità di ribilanciamento automatico in stile fondo indicizzato, ONE dei quali aveva prosciugato quasi la metà dei 34 milioni di dollari di Indexed valore totale bloccato.

Un'analisi tratta da una pubblicazione focalizzata sullo sfruttamentoRetto mostra che l'errore era in realtà un attacco lanciato da un indirizzo Ethereum finanziato dal Privacy mixer Tornado Cash. Da quell'indirizzo, un aggressore ha utilizzato prestiti flash per far saltare il saldo dei pool e acquistare asset dei componenti a un tasso fortemente scontato.

Nei giorni successivi, il team di Indexed e una "war room" ad hoc di esperti del settore si sono riuniti per mitigare i danni e raccogliere informazioni. E nel corso delle loro indagini ritengono di aver scoperto l'identità reale dell'aggressore: è un prodigio della matematica di 18 anni che si fa chiamare "Andy".

Sia il team CORE Indexed che i membri della comunità DeFi che affermano di aver parlato con Andy affermano che lui si è rifiutato di restituire i fondi e che intende affrontare in tribunale eventuali accuse penali derivanti dalla sua impresa, sostenendo di aver semplicemente eseguito un'operazione di arbitraggio del tutto legale.

Un thread di tweet da un account che afferma di appartenere ad Andy ha ringraziato i sostenitori per i loro commenti della scorsa settimana e ha chiesto consigli legali giovedì. Allo stesso modo, in uno scambio di email con CoinDesk, Andy non ha confermato di aver condotto l'attacco, ma ha detto che stava cercando un consulente legale. (Da allora Andy ha smesso di rispondere alle email di CoinDesk, anche se sono stati fatti altri tentativi di contattarlo.)

Se il caso dovesse arrivare davanti a un giudice, potrebbe essere un test di "il codice è legge", una frase popolare nei circoli DeFi che si riferisce a una mentalità comune. In assenza di regolamentazione, si pensa che l'ecosistema DeFi sia puramente avversario e che tutto ciò che è consentito dal codice sia anche per natura eticamente consentito. Laddove ONE uomo potrebbe vedere un exploit, un altro potrebbe semplicemente vedere "trading Cripto.”

Tuttavia, diversi esperti legali intervistati da CoinDesk hanno respinto questa idea e hanno affermato che, sebbene un caso possa essere complesso e forse nuovo, un tribunale non necessariamente cederà all'etica non ufficiale della DeFi.

‘Sala di guerra’

Poco dopo la scoperta dell'attacco, il team CORE di Indexed ha trovato una serie di indizi che lo hanno portato a credere di aver identificato l'hacker: un giovane sviluppatore che aveva parlato per mesi con un membro del team, Laurence Day.

"Era perfettamente affabile, amichevole, sorridente, pieno di emoji. Un tizio perfettamente normale", ha detto Day di Andy in un'intervista con CoinDesk.

Sebbene Day non abbia scritto il codice per il protocollo, lo gestisce e, di conseguenza, "lo comprende piuttosto a fondo".

"T ho la sensazione di essere stato truffato o qualcosa del genere perché stavo discutendo di informazioni che erano di pubblico dominio, ma questa cosa mi ha colto di sorpresa", ha aggiunto Day.

Una volta individuato un sospettato, il team ha assemblato la sua "war room" online. Tra i membri figurano il collaboratore di Curve Julien Bouteloup, il fondatore di Rotki Lefteris Karapetsas e lo pseudonimoyearn.finance il collaboratore CORE "Banteg", tra gli altri.

In un'intervista con CoinDesk, Banteg ha affermato che la decisione di unirsi alla war room è stata ONE.

"T rifiuto questi inviti perché so cosa si prova quando ci si trova in una situazione come questa e credo di poter offrire un supporto significativo e la prospettiva esterna necessaria per gestire la situazione con grazia ed evitare stupidi errori causati da uno stress che nessun Human dovrebbe sopportare da solo", ha affermato Banteg.

Dibattito etico

Una volta ottenute le informazioni sull'aggressore, il team decise di lanciare un ultimatum: restituire i fondi o essere denunciati alle autorità competenti.

In passato, le minacce di doxxing si sono dimostrate efficaci. Dopo un exploit da 3 milioni di dollari di un drop di token non fungibile (NFT) a settembre, gli sviluppatori sono riusciti a intimidire con successo l'aggressore inducendolo a restituire i fondi rubati dopo, tra le altre tattiche di negoziazione, aver ordinato zuppa di miso a casa dell'aggressore.

Continua a leggere: Sono stati rubati 3 milioni di dollari, ma il vero furto sono queste Kia Sedona, affermano gli sviluppatori anonimi

Tuttavia, dare concretamente seguito alla minaccia è forse una novità, e la decisione ha scatenato un acceso dibattito interno all'interno del team.

Secondo Dillon Kellar, CORE collaboratori di Indexed, la natura della struttura DAO di Indexed ha avuto un impatto notevole sul pensiero del team.

"Una volta che ha chiarito che non si sarebbe arreso, che T gli importava che avessimo trovato queste prove schiaccianti su di lui, a quel punto abbiamo dovuto prendere una decisione difficile perché se ci fossimo rivolti alle forze dell'ordine, se avessimo KEEP quelle informazioni per noi, avremmo di fatto preso noi stessi la responsabilità della situazione, e T potevamo farlo", ha detto Kellar.

Altri membri della DAO potrebbero voler richiedere individualmente o collettivamente un compenso in tribunale civile e, se i membri del team CORE trattengono le informazioni personali di Andy, ciò potrebbe impedirgli di farlo, innescando in ultima analisi un argomento morale a favore del doxxing.

"Non siamo a nostro agio con l'idea di fare doxxing pubblicamente, ma Indexed non è un'entità legale, è una DAO. E Dillon e io T abbiamo il diritto di possedere esclusivamente queste informazioni, o di prenderci la responsabilità della battaglia legale. Questa è una risposta messa all'angolo", ha detto Day.

Anche Banteg ha espresso il suo disagio per la decisione, ma ha deciso di andare avanti.

"È senza precedenti. Dal punto di vista etico, come puoi immaginare, tutto questo sembra piuttosto inquietante. Credo che Indexed abbia dato all'hacker più che sufficienti vie d'uscita, ma lui pensa di essere invincibile."

Alla fine, la sala operativa giunse al pieno consenso.

"Non c'è ONE in questa stanza che abbia dato una seria opposizione alla strada intrapresa. Sappiamo di aver fatto tutto il possibile", ha detto Day. "T mi interessano gli edgelord e i frogs. Chiunque abbia qualcosa di prezioso da dire su questo è con noi".

Bambino prodigio

Tuttavia, quando la scadenza per la squadra è scaduta senza che Andy avesse ancora notizie, Banteg ha fatto una sorprendente Da scoprire: l'attaccante T è solo "immensamente talentuoso": a soli 18 anni è un genio adolescente.

Secondo una versione memorizzata nella cache del suo sito web personale, ormai scomparso, Andy completerà presto il suo master in matematica applicata presso l'Università di Waterloo in Ontario (anche l'alma mater del co-fondatore di Ethereum Vitalik Buterin); è autore di articoli sulle varietà lisce di Schubert e sulle sfere di Riemann, tra gli altri argomenti complessi; e secondo un articolo del 2016 del quotidiano canadese Globe and Mail, ha completato gli studi di matematica alle superiori a soli 13 anni.

La sua presenza online indica anche una vena vanagloriosa. Su un forum di Wikipedia nel 2016, Andy si è definito un "esperto di matematica e fisica teorica". Si è persino inserito in un wiki di un game show come un "notevole matematico".

L'affermazione è ora una "barzelletta nera" nella sala di guerra di Indexed, ha detto Day: È diventato esattamente questo, anche se non per la sua borsa di studio.

"Credo che lui abbia superato tutti noi", ha aggiunto Day.

Preoccupazioni paterne

Questa Da scoprire ha posto la sala di guerra di fronte a un altro enigma etico, poiché molti ritenevano che denunciare un adolescente avesse un peso aggiuntivo. Le nuove informazioni hanno impedito loro di "abbassare il martello" immediatamente, come ha detto Kellar.

"Ho insegnato informatica e non ho mai avuto nessuno al livello di Andy, ma conosco il tipo. Quando sei questo tipo particolare di persona, guarda, 18 anni è un uomo agli occhi della legge, ma mentalmente sei ancora un bambino", ha detto Day. "T so se questo suona come denigratorio per lui o se sto suonando eccessivamente comprensivo, ma penso che questo sia un caso di vasta, vasta abilità a spese di quasi tutto il resto".

Allo stesso modo, Jason Gottlieb dello studio legale statunitense Morrison Cohen ha inquadrato la situazione in termini paternalistici. Gottlieb è stato assunto da Day e Kellar per rappresentare Indexed nella segnalazione dei crimini alle forze dell'ordine.

"Penso che il fatto che abbia solo 18 anni sia qualcosa che potrebbe essere motivo di empatia. Ho un figlio che ha più o meno quell'età, quindi dal punto di vista di un padre provo un po' di empatia, sapendo che gli adolescenti possono fare cose stupide. So di aver fatto cose stupide da adolescente", ha detto Gottlieb.

Tuttavia, le nuove informazioni hanno portato il team a nuove piste, tra cui la Da scoprire che Andy avrebbe frequentato circoli estremisti online. Durante l'indagine, il team ha scoperto che faceva parte di una fuga di dati da un servizio web che ospitava comunità alt-right.

Ci sono anche una serie di altri indizi che suggeriscono ideologie d'odio: la chiamata all'attacco di Andy includeva un insulto razziale; l'indirizzo Ethereum dell'attacco inizia con "BA5Ed1488", un riferimento numerologico a uno slogan neonazista; un bizzarro thread di tweet di ZetaZero includeva l'inserimento di alcune parole tra parentesi triple, un popolare fischietto antisemita.

Inoltre, l'account ZetaZero ha recentemente ritwittato un post in cui si faceva riferimento ad Andy come "il Dylan Roof delle piscine Balancer ", un riferimento a un terrorista suprematista bianco che ha ucciso nove fedeli neri nel 2015.

Mentre i membri della war room hanno affermato di non essere riusciti a identificare un momento particolare in cui hanno preso la ferma decisione di rilasciare le informazioni su Andy nonostante la sua età, i legami con l’estremismo hanno influenzato il loro pensiero.

"La cosa frustrante è che, finché non avesse reso note tutte queste brutte parti di sé - la supremazia bianca, l'antisemitismo, la sua natura generale, insopportabile e stronza - se avesse restituito il 90% e mantenuto una taglia, gli avremmo almeno chiesto di controllare il codice. E se ci avesse rivelato queste cose, gli avremmo dato da 50.000 a 100.000 dollari e lo avremmo fatto entrare nel team in un batter d'occhio", ha detto Day.

Kellar ha anche detto che l'età da sola non poteva distogliere l'attenzione dalla gravità delle azioni di Andy.

"Per un normale diciottenne, avrei delle preoccupazioni sul rilascio delle sue informazioni. E non sto dicendo che non ne T ancora, ma il fatto è che è un diciottenne molto avanzato. Ha un master. Ha finito il liceo a 13 anni. E ha preso l'iniziativa di rubare 16 milioni di dollari. E se sarà abbastanza adulto da fare quelle cose, è abbastanza adulto da affrontare le conseguenze legali", ha detto Kellar.

Codice di diritto

Tuttavia, agli occhi di alcuni membri della comunità DeFi, Andy T ha rubato nulla.

Un grido di battaglia popolare per molti fanatici della DeFi è "il codice è legge", spesso definito con disprezzo "codeslaw". Questa visione, forse meglio chiarita in unsaggio Secondo la stagista di e-Girl Capital con pseudonimo "Odette", non esiste nulla come un "hack" o un "rug pull" nella DeFi e che è responsabilità di ogni attore VET attentamente tutte le azioni on-chain: se perdi soldi a causa di un hack o di un contratto difettoso, la colpa è tua.

Poiché tutte le informazioni sono liberamente disponibili sulla catena e le azioni sulla catena sono immutabili, la DeFi è in definitiva un ambiente autonomo e deterministico che opera al di fuori dei normali parametri normativi ed etici, o almeno questo è ciò che si pensa.

Day teme che una fazione della comunità DeFi che crede che il codice sia legge stia ora istigando Andy.

"Penso che stia ascoltando una legione di rane. Lo stanno chiamando sfigato, e gli stanno chiedendo soldi, e lo stanno acclamando come un eroe", ha detto.

T è insolito che gli ammiratori si riversino sugli hacker di successo. Sulla scia dell'hack da 613 milioni di dollari di POLY Network, mendicanti e ammiratori messaggi usati sulla rete Ethereum per fare il tifo per il colpevole.

Consenso sociale

Tuttavia, nella pratica, la nozione secondo cui “il codice è legge” potrebbe essere già stata smentita.

"Francamente, è stancante", ha detto Lefteris Karapetsas a CoinDesk. "Abbiamo avuto questo litigio cinque anni fa".

Nel 2016, Karapetsas era il responsabile tecnico perSbloccalo.it, una startup che ha guidato The DAO, un famigerato esperimento di investimento iniziale il cui fallimento ha portato a una divisione della catena che ha portato alla creazione di Ethereum Classic.

"La versione 'code is law' di Ethereum è nata da lì. Si chiama ETC ed esiste ancora. I sostenitori dell'insalata di cavolo possono semplicemente andare a giocare lì", ha detto Karapetsas.

L'attuale catena canonica Ethereum è il risultato del consenso sociale raggiunto dalla comunità per "annullare" in modo efficace l'hacking di DAO piuttosto che lasciare che il codice fosse completamente deterministico, e questa è una buona cosa, secondo Karapetsas.

Continua a leggere: L'hacking del DAO è ancora un mistero

"Nessun costruttore sano di mente in questo spazio crede che il codice sia legge. È solo un meme che viene perpetuato da spettatori anonimi a cui piace solo vedere il caos dispiegarsi", ha detto.

Ha aggiunto che se la comunità abbracciasse tali principi, il risultato finale diventerebbe rapidamente distopico.

"Se il codice fosse legge, allora questo campo sarebbe solo un parco giochi per hacker che cercherebbero continuamente di rubare fondi dai protocolli. Sarebbero eponimi e idolatrati. Mentre gli utenti verrebbero biasimati per 'non aver letto il codice abbastanza bene'. Che è essenzialmente ciò che dice ogni sostenitore dell'insalata di cavolo", ha detto.

Rughe legali

La questione ora è se il principio “il codice è legge” reggerà in un tribunale.

Gottlieb ha confermato a CoinDesk di aver consegnato tutte le informazioni rilevanti a diverse agenzie delle forze dell'ordine, ma ha rifiutato di specificare quali.

Sebbene sia una questione aperta se queste agenzie avranno le competenze tecniche per analizzare il caso ed emettere un mandato di arresto, Gottlieb ha suggerito che sono più avanti di quanto alcuni nativi DeFi potrebbero pensare.

"T darei per scontato che le autorità non siano a conoscenza di questo genere di cose", ha detto. "Ho già contattato i contatti che ho in varie agenzie delle forze dell'ordine e ci sono persone nelle forze dell'ordine che hanno a che fare con hackeraggi e furti Criptovaluta ".

Gottlieb ha osservato che gli individui con cui ha parlato sono “molto sofisticati” nella loro comprensione dello spazio e che sono “interessati” al caso.

Indipendentemente dal fatto che venga arrestato o meno, Andy potrebbe anche avere motivo di presentare delle controaccuse.

Matt Burgoyne, avvocato specializzato in titoli e Cripto presso lo studio canadese McLeod Law LLP, ha affermato che potrebbero esserci delle complicazioni anche prima che il caso arrivi davanti a un giudice. Burgoyne ha detto a CoinDesk che non sta rappresentando Andy.

"Il doxxing può essere illegale in Canada e l'entità delle conseguenze legali dipende dalle circostanze. Il doxxing può dare origine ad accuse di molestie criminali, invasione della Privacy e stalking. T credo che questo andrà in tribunale e se lo facesse, sono sicuro che ci sarebbero danni da entrambe le parti", ha affermato.

Erich Dylus, ingegnere legale per Oracle Network API3, ha espresso il suo disagio personale nei confronti del doxxing e ha anche affermato che potrebbe portare a controaccuse.

"Penso che il doxxing pubblico possa essere estremamente pericoloso e spesso porti a un indesiderato controllo fuori luogo o a un processo da parte Opinioni pubblica. Per non parlare del fatto che potenzialmente si aprono vie di responsabilità per i doxxer", ha affermato.

In un tweet di giovedì, Kellar ha affermato che Andy e la sua famiglia hanno ricevuto minacce e ha invitato la comunità a cessare gli abusi e a perseguire altri "rimedi legali".

Rubare dal piatto delle offerte

Tuttavia, una volta analizzate queste lamentele, la questione si sposta sulla capacità di un tribunale di confrontarsi con la complessità dei market maker automatizzati ponderati (AMM), dei prestiti flash e delle cosiddette “sfruttamenti economici”.

Geoff Costeloe, associato presso lo studio canadese Lindsey MacCarthy LLP e membro di LexDAO, ha affermato che la struttura DAO di Indexed potrebbe causare intoppi.

"Seguirò il lato del recupero della questione", ha detto. "Dato che Indexed è una DAO decentralizzata, sono curioso di vedere come presentano la loro richiesta e come descrivono la loro relazione con il protocollo e gli altri membri della DAO. Diranno che è una partnership o una società? O diranno che sono individui?"

Gottlieb, l'avvocato di Indexed, ha accantonato queste preoccupazioni. Ha paragonato l'impresa a una congregazione di una chiesa che ha raccolto fondi per una qualche causa: se rubata, non è meno un crimine solo perché sarebbe difficile tracciare con precisione chi possedeva cosa in un momento specifico.

Pura illusione

La mezza dozzina di avvocati con cui CoinDesk ha parlato ha tutti concordato sul fatto che, sebbene a prima vista il potenziale caso possa sembrare tale da creare una serie di precedenti, la realtà è che un tribunale probabilmente valuterà l'attacco in termini semplici.

L'avvocato Cripto Stephen Palley ha avvertito che se il caso dovesse arrivare in tribunale, potrebbe essere il momento in cui porre definitivamente fine alle fantasiose nozioni di autoregolamentazione della DeFi.

"È il massimo della stupidità dire 'il codice è legge' in questa situazione. È un incantesimo magico che non significa nulla", ha detto l'avvocato di Anderson Kill a CoinDesk.

"Non c'è niente di terribilmente nuovo qui", ha aggiunto. "Vino vecchio, bottiglie nuove; avidità Human egoistica. Rapinare una banca è un 'exploit economico?' Dirlo è fottutamente stupido. Non c'è niente in questo, se gestito correttamente, che sia un precedente rivoluzionario".

Molti avvocati e membri del team CORE di Indexed hanno sottolineato in particolare i segnali delle intenzioni di Andy che potrebbero compromettere la sua difesa.

"T si è trattato di un caso in cui c'era un contratto che aveva solo un semplice errore, quello che alcuni chiamano un exploit economico", ha detto Kellar, membro del team CORE di Indexed. "T ha tirato una leva che ha sputato fuori troppe monete, è stato un attacco sofisticato che ha sfruttato una vulnerabilità molto specifica che nessuno ha trovato per un anno".

Una sequenza di azioni che porti all'attacco vanificherà qualsiasi tentativo di Andy di inquadrare l'attacco come un "felice incidente", ha aggiunto Kellar.

"Se un cassiere [di banca] o un sistema commette un errore e qualcuno si arricchisce ingiustamente, questo T impone certamente sanzioni penali all'individuo che ha ricevuto un favore", ha affermato Costeloe, l'avvocato MacCarthy LLP. "Potrebbero essersi arricchiti ingiustamente, ma si sono anche arricchiti innocentemente, senza alcuna intenzione da parte loro. La situazione con Indexed è un BIT' diversa da quella perché l'hacker ha scritto il codice e ha attaccato il protocollo in un modo che mostra una chiara intenzione di arricchire se stesso".

Alla fine, diversi avvocati hanno respinto l’argomento secondo cui “il codice è legge”, definendolo “delirio” e sostenendo che è “delirante”.

Determinazione cupa

Giovedì mattina, il presunto account Twitter ZetaZero di Andy ha pubblicato un breve thread in cui ha inquadrato l'imminente battaglia legale come un "duello".

Nonostante l’apparente inerzia che pende verso un confronto legale, sia Gottlieb che Palley hanno notato che se Andy restituisse i fondi, ci sarebbe la possibilità che l’incidente non debba essere portato in tribunale.

Palley ha affermato che la restituzione dei fondi "T annulla il crimine", ma potrebbe indurre il pubblico ministero a rifiutarsi di procedere con le accuse.

Tuttavia, il team CORE di Indexed ha raggiunto un punto di "cupa determinazione", secondo Day.

"Ho avuto il tempo di elaborare tutto questo ora, e mi aspetta un vortice che si scatena su Twitter, ma tutto sommato so che questa è stata la cosa giusta da fare. Dillon [Kellar] e io saremo dei paria in alcune parti dello spazio ora, ma è stata la cosa giusta da fare", ha detto del doxxing di Andy.

Kellar ha chiarito che stanno anche considerando il tribunale come un esito sempre più probabile.

"Alcune persone hanno detto che potrebbe trasferirsi in Venezuela o in qualche altro posto senza estradizione, ma T credo che ciò accadrà. Sembra proprio che voglia che questo sia un caso che crei un precedente, quindi se T restituisce i fondi mi aspetto che questo vada in tribunale", ha detto Kellar.

"Sta cercando di imprimere il suo nome nella storia, e ci riuscirà, ma in modo rovinoso", ha detto Day. "È un BIT ' straziante. Uno spreco colossale di talento, tempo e denaro. E per cosa? Vorrei solo dirgli: 'Accidenti, Andy, perché ci hai fatto fare questo?'"