Взлом POLY и проблемы доверия к криптовалютам

«А теперь, ребята, пришло время: Кому вы доверяете? Хабба хабба хабба, деньги деньги деньги. Кому вы доверяете? Мне, я раздаю бесплатные деньги. А где Бэтмен? Дома, стирает свои колготки!» — Джокер (Бэтмен, 1989)

КогдаСеть POLY была взломана В начале прошлой недели, около 600 миллионов долларов в различных криптовалютах, атака была примечательна в основном своим размером. Это самый большой взлом Криптo из когда-либо существовавших – хотя и не намного больше, чем в 2018 году Взлом Coincheck на 500 миллионов долларов. С высоты 50 000 футов это казалось логичным продолжением серии взломов, восходящих к эксплойту, который якобы обрушил Mt. Gox около 2013 года, что само по себе стоит того.около 473 миллионов долларовв 2014 годуBTCцены.

Короче говоря, несмотря на свои размеры, взлом POLY оказался T таким уж интересным.

А потом все стало странным.

Дэвид З. Моррис — главный обозреватель аналитических статей CoinDesk.

Хакер, как сообщается, вступил в многосторонние переговоры, включающие POLY, майнеров, фирму безопасности Slowmist и эмитента стейблкоинов Tether. Характер этих переговоров до сих пор T совсем ясен, но мы знаем по крайней мере две вещи: POLY предложила хакеру «вознаграждение за обнаружение уязвимости» в размере 500 000 долларов за возврат украденных средств, а Slowmist утверждает, что идентифицировала IP-адрес и адрес электронной почты хакера (хотя хакер отрицал, что был скомпрометирован).

Третья сильная гипотеза заключается в том, что хакер начал понимать, что ему/ей/им будет очень трудно ликвидировать что-либо близкое к 600 миллионам долларов в токенах (мы T знаем пол хакера, но я буду использовать «он» для простоты, и потому что есть вероятность, что это точно). Генеральный директор Binance Чанпэн Чжао пообещал, что его биржа будет «заморозить» любые взломанные средства отправлено на его платформу, в то время как Tether фактически предприняла шаги по заморозке своих активов на сумму около 33 миллионов долларов USDTстейблкоин был украден при взломе.

Возможно, были и другие факторы, но этих одних было достаточно, чтобы спровоцировать то, что произошло дальше: хакервернул деньги. К четвергу, 12 августа, хакер поместил почти все взломанные средства (за исключением замороженных привязок) вкошелек с несколькими подписями поделился с командой POLY .

Другими словами, это пресловутая собака, которая поймала машину. Провернув крупнейшее Криптo всех времен, хакер T знал, что делать с добычей.

Поворот лица

Теперь, с помощью самой POLY Network, хакер пытается создать то, что в профессиональном рестлинге известно как «поворот лица»: внезапный переход от злодея к герою.

Утром 16 августа хакер опубликовал сообщение черезпроверенный адрес Ethereumвключая следующее:

«ДЕНЬГИ ДЛЯ МЕНЯ МАЛО ЗНАЧАТ, НЕКОТОРЫМ ЛЮДЯМ ПЛАТЯТ ЗА ВЗЛОМ, Я ЛУЧШЕ ЗАПЛАТИЛ БЫ ЗА РАЗВЛЕЧЕНИЕ. Я РАССМАТРИВАЮ ВОЗНАГРАЖДЕНИЕ В КАЧЕСТВЕ НАГРАДЫ ДЛЯ ПУБЛИЧНЫХ ХАКЕРОВ, ЕСЛИ ОНИ СМОЖУТ ВЗЛОМАТЬ СЕТЬ POLY ... ЕСЛИ POLY T ДАСТ ВООБРАЖАЕМУЮ НАГРАДУ, КАК ВСЕ ОЖИДАЮТ, У МЕНЯ ДОСТАТОЧНО БЮДЖЕТА, ЧТОБЫ ШОУ ПРОДОЛЖАЛОСЬ».

«Я ДОВЕРЯЮ ЧАСТИ ИХ КОДА, Я ХВАЛИЛ бы ОБЩИЙ ДИЗАЙН ПРОЕКТА, НО Я НИКОГДА НЕ ДОВЕРЯЛ ВСЕЙ КОМАНДЕ POLY ».

Другими словами (чтобы прояснить, по-видимому, машинно-переведенную заметку), крупнейший Криптo всех времен говорит, что он сделал это ради лулзов. Но также, основываясь на заявлениях сделано 11 августа, он утверждает, что он безобидный хакер, который просто хочет подчеркнуть недостатки дизайна, а не украсть деньги. Он утверждает, что «всегда был план» вернуть средства, и теперь он даже готов использовать свои собственные деньги, чтобы платить дальнейшие «вознаграждения» хакерам, которые помогают находить и устранять эксплойты в POLY. Он настоящий добрый самаритянин!

POLY Network оказала огромную помощь в этом повороте событий, дав хакеру очень лестное прозвище и одновременно добиваясь возврата украденных средств: Мистер Белая Шляпа.

«White Hat», конечно, относится к хакеру «white hat». Хакер white hat, в принципе, только тестирует уязвимости программного обеспечения, чтобы помочь исправить их, а не использовать их для выгоды. «Black hat», напротив, взламывает ради выгоды или злого умысла.

Мотивы POLY Network, по которым хакер был заранее назван «белой шляпой», вполне понятны: это дает хакеру возможность вернуть средства и, возможно, спасти свою репутацию. Для POLY возврат средств — единственный приоритет, и эта стратегия блестящая: в конце концов, на мед поймаешь больше мух, чем на уксус.

Но помимо дружеского прозвища Поли и его собственных заявлений, нет четких доказательств того, что первоначальные намерения хакера были хорошими. Среди других противоречивых доказательств неясно, зачем ему было переводить 600 миллионов долларов, когда эксплойт можно было продемонстрировать с помощью гораздо меньшего взлома.

Хабба-хабба-хабба, кому ты доверяешь?

Ситуация подчеркивает напряженность, которая росла вместе с экосистемой Криптовалюта . «Отсутствие доверия» — это CORE принцип Криптo, как в технологическом, так и в философском плане. В широком смысле это утверждение о том, что доверие можно оказывать стабильным и безопасным системам блокчейна, а не подверженным ошибкам и эгоистичным людям.

Но с ростом сложности, конкуренции и ставок потребность в доверии к людям, стоящим за Криптo , возросла. Как и последствия нецелевого использования этого доверия. Это наиболее очевидно относится к пользователям POLY Network, которые доверили ей свои средства: различные украденные токены были доверены протоколу, который действует как хранитель в рамках своей функциональности кросс-чейн.

Но взлом доказывает тот факт, что они на самом деле T доверяли системе — они доверяли разработчикам и кодерам сети. Это доверие было поколеблено очевидными недостатками в их коде. POLY не одинок в этом, по большому счету: как уже упоминалось, взломы и эксплойты стали частыми, особенно в системах децентрализованных Финансы (DeFi), сложность которых делает их изначально более уязвимыми, чем более простые системы, такие как Bitcoin.

Читать дальше: Ограбление POLY на сумму 600 млн долларов показывает, что DeFi нужны хакеры, чтобы стать неуязвимыми | Дэн Кун

Как утверждает Дэниел Кун из CoinDesk, эти взломы можно рассматривать как часть процесса создания этихсистемы более безопасны. Хакер, независимо от того, было ли это его первоначальным намерением или нет, сделал POLY сильнее.

Тем не менее, эти взломы подчеркивают неприятную правду: в DeFi репутациялюди, строящие системы Имеет значение. И взлом POLY , в частности, показывает ONE из причин, по которой это является проблемой. POLY — это проект, частично поддерживаемый командой NEO, блокчейном, основанным в Китае в 2014 году. Чтобы человек в США или Европе доверял им, необходимо преодолеть те самые языковые, географические и политические барьеры, которые Криптo должна была растворить.

Вместо этого, разрыв способствовал некоторым откровенным конспирологическим размышлениям о мотивах Poly. Сегодня утром POLY объявила, что предложит г-ну Белой Шляпе роль своего Главный советник по безопасности. Скорее всего, это часть стратегии сети, направленной на то, чтобы оставаться в фаворе у хакера. Но это также вызвало предположения, что сам взлом был внутренней работой, задуманной какмаркетинговый ход.

Другим важным аспектом отсутствия доверия в Криптo является окончательность. В белой книге Сатоши Накамото 2008 года, описывающей Bitcoin, он пишет, что «полностью необратимые» транзакции являются особенностью, а не ошибкой системы: «С возможностью отмены потребность в доверии распространяется». В конечном счете, это происходит потому, что обратимость требует арбитра — страшной «третьей стороны», обладающей полномочиями решать, кто прав, а затем останавливать или возвращать транзакции. Но устранение сторонних посредников — это весь смысл Криптовалюта, особенность, которая делает ее уникальной среди цифровых платежных инструментов (и, по крайней мере в наше время, среди валют в целом).

Конечно, я имею в виду Tether. Стейблкоин является важнейшей основой всей экосистемы Криптовалюта с рыночной капитализацией в $63 млрд и ключевой ролью в содействие торговлеБольшинство пользователей, вероятно, думают о Tether как о «Криптовалюта», примерно похожей на Bitcoin, но его реакция на взлом опровергает это утверждение.

Заморозив 33 миллиона долларов, участвовавших в взломе, компания, стоящая за Tether, продемонстрировала, что она является «доверенным посредником». Так же, как банк (которым он фактически и является, во многих смыслах), Tether продемонстрировал, что может заморозить любые средства, перемещающиеся по сети, в любое время. Когда вы используете его, вы доверяете центральным администраторам Tether не заморозить твой (То же самое, если быть точным, относится и к конкурентам Tether USDC(Хотя Circle, компания, стоящая за USDC, решила не вмешиваться в текущее дело.)

Итак, как бы мрачно это ни звучало, бесспорно, что Криптo сейчас все чаще вызывают те же извечные философские затруднения, с которыми мы сталкиваемся при работе с традиционной финансовой системой:

Хабба-хабба-хабба, кому ты доверяешь?