Po jednej z największych w historii DeFi kradzieży, haker z sieci Ronin firmy Axie, nie będzie miał łatwego życia i ma ograniczone możliwości.
Społeczność kryptograficzna została wstrząśnięta we wtorek jednym z największych włamań w historii Web 3 i kradzieżą o wartości 625 milionów dolarów, które nieuczciwie pozyskał z sieci Ronin, blockchaina, na którym znajduje się szalenie popularna gra typu „play-to-earn” firmy Axie Infinity.
Jednak pomimo kradzieży oszałamiającej sumy eksperci są zdania, że jest mało prawdopodobne, aby atakujący hacker kiedykolwiek mógł cieszyć się nieuczciwie zdobytymi środkami.
We wtorek deweloper Axie, Sky Mavis, ogłosił w poście na blogu, że exploit (włamanie z kradzieżą) spowodował straty w wysokości ponad 173 000 ETH i 25,5 miliona USDC, o wartości ponad 625 milionów dolarów w momencie publikacji.
Natychmiast po ataku obserwatorzy zauważyli, że haker wykorzystał scentralizowane giełdy gdzie zdeponował tysiące ETH. Są to między innymi Huobi, FTX i Crypto com.
Eksperci ds. bezpieczeństwa scharakteryzowali ten ruch jako wielki błąd.
Platformy giełdowe posiadają systemy weryfikacji typu „poznaj swojego klienta” (KYC), idąc za depozytami można ustalić tożsamość hakera i ostatecznie zmusić go do zwrotu środków.
Poznaj swojego włamywacza
Obecna metoda atakującego, polegająca na próbie prania pieniędzy za pośrednictwem scentralizowanych giełd, wydała się wielu ekspertom z branży nieco dziwna i trywialna.
„To dziwne zachowanie, aby dokonywać bezpośrednich przepływów środków pochodzących z kradzieży i kierować je od razu do dużych giełd” – powiedział Robinson, współzałożyciel firmy Elliptic zajmującej się analizą blockchain, Tom Robinson.
„Mogli kupić obce konta lub korzystać z usług pośrednika do prania pieniędzy, który zrobiłby to w ich imieniu”.
Tom Robinson już października 2021 odkrył, że istnieje czarny rynek dla kont KYC na scentralizowanych giełdach. Zauważył jednak, że użyte przez hackera giełdy, w tym FTX i Crypto com, mają dobrą reputację w zakresie zgodności z przepisami i KYC.
Podsumowując, określił wysiłki hackera, który próbuje prać skradzione fundusze, jako „zaskakująco naiwne”.
„To nie do końca pasuje do wyrafinowania, którego wymagałoby złamanie tych walidatorów i uzyskanie ich kluczy prywatnych” – dodał.
Bardziej powszechną strategią hackerów jest używanie miksera, takiego jak Tornado Cash, wysyłanie skradzionych środków za pośrednictwem giełd nieobjętych KYC i generalnie „nie spieszenie się, aby wypłacić wszystko od razu, może nawet czekanie latami” – powiedział Robinson.
Rzeczywiście, szersza społeczność kryptograficzna wyraziła zakłopotanie strategią prania pieniędzy przez hackera.
Jak to często bywa przy ataku, użytkownicy Ethereum używali sieci do komunikacji z atakującym, a w jednym przypadku ktoś próbował nawet udzielać atakującemu wskazówek, jak lepiej wyprać swój ETH.
„Witam, [twój] początkowy depozyt pochodził z Binance, bądź ostrożny i pamiętaj, aby użyć tornado.cash, następnie pozostaw środki na kilka dni, w przeciwnym razie można je będzie prześledzić”, napisali na adres atakującego w ramach transakcji Ethereum .
„Następnie powinieneś używać stealthex.io do wymiany na inne waluty przez długi czas. Dzięki, nie wahaj się dać mi napiwku, może przejdę na emeryturę.”
Nawet przy rygorystycznych narzędziach do ochrony prywatności i starannym planie, Robinson powiedział, że niezwykle trudno jest wyprać sumę nawet 600 milionów dolarów.
Pomimo tego, że domniemani hakerzy piorą środki przez lata i podejmują szereg środków ostrożności, w zeszłym miesiącu amerykańscy urzędnicy przechwycili 3,6 miliarda dolarów w bitcoinach związanych z włamaniem do Bitfinex z 2016 roku.
Jeśli Axie posiada informacje o atakującym, identyfikacja hakerów może okazać się skuteczną taktyką dla programistów.
Firma Chainalysis zajmująca się śledztwami w dziedzinie blockchain odmówiła komentarza, powołując się na zaangażowanie w toczące się dochodzenie.
Kradzieże wielkości PKB
We wrześniu ubiegłego roku, w jednym z najbardziej barwnych incydentów hakerskich w historii blockchain, twórcy niewymiennego tokena (NFT) Jay Pegs Auto Mart skutecznie zastraszyli hakera, aby zwrócił skradzione środki, m.in. poprzez zamówienie zupy miso do domu.
Były dyrektor ds. technologii Sushi, Joseph Delong, który brał udział w negocjacjach z Jayem Pegsem, powiedział, że zidentyfikowanie hakera może pomóc „zapobiegać anonimowej ucieczce” i zwiększyć presję publiczną.
„Ludzie będą źli, że zdemaskujesz napastnika, ale ci kryptoanarchiści mogą się schować ze swoim kompleksem wyższości” – powiedział Delong we wtorkowym wywiadzie.
„Wypranie 600 milionów dolarów, nie sądzę, że jest to możliwe” – powiedział Adrian Hetman, ekspert DeFi w Immunefi w usłudze bug bounty. „Najlepszym sposobem jest to, że zamiast wdzierać się do protokołu, powinieneś wykorzystać tę wiedzę do zgłaszania błędów i w ten sposób możesz łatwo zostać milionerem.”
Sushi’s Delong zauważył również, że udostępnienie możliwości hakerom aby pomóc im być przydatnym jest dobrym rozwiązaniem.
Rzeczywiście, Immunefi jest jedną z mnóstwa usług, które pojawiły się, gdy DeFi i Web 3 starają się zabezpieczyć ekosystem przed rosnącą falą włamań. Sam Immunefi wypłaciła 20 milionów dolarów w postaci nagród za zauważone błędy, a obecnie ma 120 milionów dolarów dostępnych w przypadku „białych kapeluszy”, czyli dla tych życzliwych hackerów, którzy decydują się zgłaszać luki w zabezpieczeniach. W przeciwieństwie do hakerów z „czarnymi kapeluszami”, którzy uciekają ze skradzionymi funduszami.
Historia pokazuje, że próba kradzieży i prania 625 milionów dolarów mogła być najgorszą opcją dla atakującego. W sierpniu zeszłego roku haker, któremu udało się zdobyć 611 milionów dolarów od Poly Network, ostatecznie zwrócił środki po podjęciu decyzji, że wypłata jest niemożliwa.
„Myślę, że albo zostanie złapany, albo zmuszony do zwrotu pieniędzy. Albo jedno i drugie”, powiedział Hetman o hakerze z sieci Ronin.
Motywacje ideologiczne
Jednak w najgorszym scenariuszu dla Axie Infinity, hackerowi może w ogóle nie zależeć na pieniądzach.
„Myślę, że – co do zasady – ideologia eksploatatora jest kluczową rzeczą do rozważenia, gdy mówimy o danych o wielkości PKB uzyskanych w wyniku hacków” – powiedział Laurence E. Day, twórca i naukowiec blockchain.
„Jeżeli zrobili to po prostu, by wysłać wiadomość o słabości sieci lub „ponieważ-bo-mogą, niech szlag trafi konsekwencje”, pytanie „czy było warto” zależy od tego, czy uważają to za wystarczające samoocenę swoich umiejętności. ”
A Ty co byś zrobił na miejscu hackera z Ronin ?
Może Cię zainteresuje: