БАЛЛАДА О БЛАГОРОДНОМ КРИПТОРАЗБОЙНИКЕ
Анонимный хакер совершил крупнейшую кражу в истории, а потом вернул все 611 миллионов долларов обратно
Читатель наверняка уже слышал о том, что в бармалейной Африке — опасном мире криптовалютного беспредела — на днях похитили 611 миллионов долларов. Прояви журналисты усидчивость и пошерсти анналы, можно было даже усилить фактуру, сказав, что украденная сумма более чем в два раза превышает самую выдающуюся банковскую кражу в истории человечества (в 2007 году из иракского частного банка Dar Es Salaam Bank увели 282 миллиона долларов — ищут, вернее не ищут, по сей день).
Сюжет такой. После того как хакер взломал смарт-контракты платформы Poly Network, сохранив при этом полную анонимность, а значит, и обеспечив себе полную безнаказанность, он выдержал театральную паузу, а затем… все деньги вернул!
Вы только вдумайтесь: аноним похитил 611 миллионов долларов и в ситуации полной личной безопасности, безо всякого принуждения деньги добровольно вернул, пожурив разработчиков за непростительную халатность. Хочу спросить профессиональных историков: зафиксировано ли за 5 тысяч лет письменной речи нечто подобное? Был ли прецедент?
Итак, хакер деньги вернул, а обескураженные обитатели риаллайфа мучительно обмусоливают мотивацию. Разумеется, с колокольни собственных жизненных ценностей. Консенсус, который мне удалось вычленить из множества публикаций (от Forbes и CNBC до TACC и «Секрета фирмы»): «злоумышленник» испугался!» Его, мол, прижучили, вычислили IP-адрес, электронную почту, транзакции, связывающие его счета в DeFi-сетях со счетами на централизованных криптобиржах, где все проходят процедуру KYC (Know Your Customer, «Знай своего клиента»), а значит, поимка преступника — вопрос времени. Поэтому злодей решил не доводить до сумы-тюрьмы и сделать превентивный шаг — вернуть средства добровольно.
Надо признать, что журналисты не сами придумали этот наивный бред, а опирались на браваду коммерческих структур, специализирующихся на блокчейн-аналитике и сетевых расследованиях.
В частности, контора под названием SlowMist заявила, что располагает информацией об «электронной почте, IP и цифровом отпечатке устройства, которое использовал взломщик, и теперь «готова всем этим поделиться с Poly Network, если им понадобится». Разумеется, Poly Network вся эта ерунда не понадобилась, потому что Poly Network волновала не пиар-бравада SlowMist, рассчитанная на непосвященного обывателя, а судьба 611 миллионов долларов, принадлежащих их пользователям и украденных по вине разработчиков.
К разговорам о том, что хакера вот-вот схватят и ему пора сдаваться, подключились руководители централизованных криптобирж (Hoo и Binance), а также сами проштрафившиеся разрабы из Poly Network. Сразу после потери колоссальных средств Poly Network опубликовал в своем твиттере обращение к хакеру, которое произвело на понимающих людей удручающе жалкое впечатление:
«Уважаемый Хакер,
Мы команда Poly Network.
Мы хотим установить с Вами канал связи и уговорить Вас вернуть похищенные активы.
Сумма похищенных Вами денег самая большая в истории децентрализованных финансов. Силы правопорядка во всех странах будут оценивать Ваши действия как крупное экономическое преступление и будут Вас преследовать. С Вашей стороны было бы неосмотрительно совершать дальнейшие транзакции. Вы украли деньги, которые принадлежат десяткам тысяч членов криптосообщества, обычным людям. Вы должны поговорить с нами для поиска выхода из ситуации».
Такая вот печальная смесь лести, угроз, беспомощности и косноязычия. Но представьте себе, что хакер тут же откликнулся и пошел на контакт. Только не потому, что испугался или поддался на уговоры, как решили журналисты риаллайфа, а по совершенно иным соображениям.
Абсолютная открытость блокчейна, однако, в достаточной степени иллюзорна, поскольку мы видим переводы с одного «кошелька» на другой, при этом сами «кошельки» — всего лишь бессмысленный набор цифр и букв, за которым скрываются анонимные пользователи. И узнать, кто эти пользователи в реальной жизни, вопреки браваде криптодетективных агенств, при соблюдении элементарных правил безопасности практически невозможно.
На эту невозможность и не преминул указать хакер, с удовольствием пошедший на контакт с командой Poly Network. Он дал понять, что IP-адреса, электронная почта, цифровые отпечатки его устройств, якобы обнаруженные SlowMist, никакого отношения к его подлинной идентичности не имеют. Неужели кто-то до того наивен, чтобы полагать, что гениальный программист, обнаруживший не имеющую прецедентов в истории уязвимость в смарт-контрактах Poly Network, незнаком с правилами элементарной цифровой гигиены?
Все средства для взлома поступили не со счетов хакера на централизованных биржах (вероятнее всего, у него таких вообще нет, и уж подавно он никогда в жизни не проходил бы KYC), а в результате обмена принадлежавших ему токенов Monero, анонимной криптовалюты, которая вообще не поддается идентификации. (Забавно, что еще одна «аналитическая контора» CipherTrace уже не первый год вешает лапшу своим корпоративным клиентам о том, что якобы ей удалось разработать алгоритм, отслеживающий движение анонимных средств в сети Monero.)
Хакер обращался к команде Poly Network через тот же самый блокчейн, размещая все свои реплики в специальном поле для дополнительной информации (Input Data), которое присутствует в каждой транзакции. Транзакций было много, поэтому переписка разрослась в эпическую поэму, с которой также может ознакомиться любой желающий.
Я приведу лишь несколько высказываний «злоумышленника», проливающих свет на его мотивацию:
● «Деньги меня не интересуют, думаю, что верну какие-то токены или просто оставлю их лежать на этом счете»
● «Заполучить такое состояние — это уже легенда. Вечной же легендой станет спасение мира. Я принял решение»
● «Обращение к «жертвам»: не хочу сказать, что команда Poly Network не заслуживает доверия, но никто из вас не имеет возможности бросить вызов их коду, а ведь это должно быть Законом. Не беспокойтесь, никакие вы не жертвы. Я вас спас!»
● «Обращение к новичкам в крипте: в мире DeFi закон — это код. А кто же здесь арбитр? Мы, хакеры, мы вооружены. Если у тебя есть оружие и ты охраняешь миллиарды от толпы, оставаясь анонимным, кем ты захочешь стать — террористом или Бэтменом?»
● «Обращение к новичкам в вопросах безопасности: не существует совершенных систем. Не нужно обвинять команду Poly Network или их аудиторов. Мой опыт говорит, что это нетривиальная задача — в одиночку разобраться во всей логике системы Poly Network, это гораздо сложнее, чем отловить мелкий баг. Мне важно, чтобы вы усвоили главное: нельзя делать ставку всей своей жизни на что-то, в чем ты никогда не разберешься».
Мне попадались на глаза комментарии серьезных криптоаналитиков и экспертов, в которых они указывали на эмоциональную неуравновешенность хакера, его истеричность, нарциссизм и манию величия. По моим ощущениям, эти психологические клише в данной ситуации абсолютно неуместны. Нельзя сублимировать в подобных высокопарно-снисходительных разговорах наш собственный страх от непонимания единственно в этой истории важного и главного: КАК можно получить в полное распоряжение столь немыслимую сумму денег и затем равнодушно вернуть все обратно? Причем не важно, под каким соусом это возвращается — ради самолюбования, ради урока нерадивым разработчикам Poly Network или ради предупреждения пользователей DeFi, не отдающих себе отчет о рисках и не понимающих, куда и зачем они вкладывают свои деньги. Важен исключительно сам факт возврата денег!
Я убежден, что мы имеем в истории со взломом Poly Network дело не с безумным, гениальным и неповторимым индивидом, а с проецированием ментальности нового поколения на денежные отношения. Тем более что возврат украденных хакером денег в DeFi — если не норма, то очень часто повторяющийся паттерн. В августе 2020-го, на самой заре революции DeFi, создатель анонимного проекта SuchiSwap по прозвищу Шеф Номи сначала украл все средства из Казны обменного протокола, а через несколько дней их вернул. С такой вот покаянной запиской: «Я хочу извиниться перед всеми за все, что совершил. Я поддался эмоциям, я дал волю жадности, я испугался. Я принял плохие и противоречивые решения под давлением. И доставил всем боль. Я не оправдал ваши ожидания, и я очень сожалею об этом. Возвращаю обратно в казну все 14 миллионов долларов в токене ETH».
Можно, конечно, дать полную волю собственной порочности и порезонерствовать, что, мол, стало стыдно, совесть замучила. Или еще лучше — поймали за руку, не мог отвертеться и прочие отмазки из арсенала риаллайфа. В конце концов, мерить окружающий мир аршином собственной порочности — это очень даже humanum est.
Мне же приятнее верить, что в описанных историях мы имеем дело не с «белыми воронами» и «белыми хакерами», а именно с новым типом ментальности, которую массово адаптирует новое поколение, не желающее переносить в свою естественную среду обитания — цифровой мир — уродливую шкалу ценностей уходящей, слава богу, в прошлое цивилизации риаллайфа.