L'attacco informatico a POLY e i problemi di fiducia di Crypto

"E ora, gente, è il momento di: Di chi vi fidate? Hubba hubba hubba, soldi soldi soldi. Di chi vi fidate? Di me, che sto regalando soldi gratis. E dov'è Batman? A casa, a lavare i suoi collant!" - Il Joker (Batman 1989)

Quando ilLa rete POLY è stata hackerata all'inizio della scorsa settimana per circa 600 milioni di dollari in varie criptovalute, l'attacco è stato notevole soprattutto per le sue dimensioni. È il più grande hack Cripto di sempre, anche se non di molto superiore a quello del 2018. Hackeraggio da 500 milioni di dollari su CoincheckDa 50.000 piedi, sembrava la progressione logica di una serie di attacchi informatici che risalivano all'exploit che presumibilmente fece crollare il monte Gox intorno al 2013, di per sé degnocirca 473 milioni di dollarinel 2014BTCprezzi.

In breve, nonostante le sue dimensioni, l'hack POLY T era poi così interessante.

Poi le cose si fecero strane.

David Z. Morris è il caporedattore della rubrica approfondimenti di CoinDesk.

L'hacker avrebbe avviato trattative multipartitiche tra cui POLY, i minatori, la società di sicurezza Slowmist e l'emittente di stablecoin Tether. La natura di queste trattative T è ancora del tutto chiara, ma sappiamo almeno due cose: POLY aveva offerto all'hacker una "bug bounty" da 500.000 $ per restituire i fondi rubati e Slowmist afferma di aver identificato l'IP e gli indirizzi e-mail dell'hacker (sebbene l'hacker negato di essere compromesso).

Una terza forte ipotesi è che l'hacker stesse iniziando a rendersi conto che lui/lei/loro avrebbero avuto molte difficoltà a liquidare qualcosa di vicino a $ 600 milioni in token (T sappiamo il sesso dell'hacker, ma userò "lui" per semplicità e perché è probabile che sia corretto). Il CEO di Binance Changpeng Zhao ha promesso che il suo exchange avrebbe “congelare” tutti i fondi hackerati inviato alla sua piattaforma, mentre Tether ha effettivamente preso la decisione di congelare circa 33 milioni di dollari del suo USDTstablecoin presa durante l'hacking.

Potrebbero esserci stati altri fattori, ma questi da soli sono stati probabilmente sufficienti a innescare ciò che è successo dopo: l'hackerha restituito i soldiEntro giovedì 12 agosto, l'hacker aveva inserito quasi tutti i fondi hackerati (tranne quei tether congelati) inun portafoglio multi-firma condiviso con il team POLY .

In altre parole, questo è il proverbiale cane che ha preso un'auto. Dopo aver portato a termine il più grande furto Cripto di tutti i tempi, l'hacker T sapeva cosa fare con il bottino.

Girare la faccia

Ora, con l'aiuto della stessa POLY Network, l'hacker sta cercando di realizzare quello che nel wrestling professionistico è noto come un "cambiare faccia": un passaggio improvviso da cattivo a eroe.

La mattina del 16 agosto, l'hacker ha pubblicato un messaggio tramite unindirizzo Ethereum verificatotra cui quanto segue:

"I SOLDI PER ME CONTANO POCO, ALCUNE PERSONE SONO PAGATE PER HACKERARE, IO PREFERIREI PAGARE PER DIVERTIRMI. STO VALUTANDO DI ACCETTARE LA TAGLIA COME UN BOUNUS [sic] PER GLI HACKER PUBBLICI SE POSSONO HACKERARE LA RETE POLY ... SE LA POLY T DÀ LA TAGLIA IMMAGINARIA, COME TUTTI SI ASPETTANO, HO BUDGET ABBASTANZA ABBASTANZA PER FAR CONTINUARE LO SPETTACOLO."

“MI FIDO DI PARTE DEL LORO CODICE, ELOGIEREI IL DESIGN GENERALE DEL PROGETTO, MA NON MI FIDO MAI DELL'INTERO TEAM POLY .”

In altre parole (per chiarire la nota apparentemente tradotta a macchina), il più grande hacker Cripto di tutti i tempi dice di averlo fatto per ridere. Ma anche, basandosi su dichiarazioni fatto l'11 agosto, sostiene di essere un hacker benigno che vuole semplicemente evidenziare un difetto di progettazione piuttosto che rubare soldi. "È sempre stato il piano" restituire i fondi, sostiene, e ora è persino disposto a usare i suoi soldi per pagare ulteriori "taglie" agli hacker che aiutano a trovare e correggere gli exploit in POLY. È un vero e proprio buon samaritano!

La POLY Network ha contribuito enormemente a questa svolta, dando all'hacker un soprannome molto lusinghiero, mentre cercava di riavere indietro i fondi rubati: Mr. White Hat.

"White Hat", ovviamente, è un riferimento a un hacker "white hat". Un hacker white hat, in linea di principio, testa solo le vulnerabilità del software per aiutarle a risolverle, piuttosto che sfruttarle per trarne profitto. Un "black hat", al contrario, hackera per profitto o malizia.

Le motivazioni di POLY Network per aver definito preventivamente l'hacker un "cappello bianco" sono piuttosto chiare: fornisce all'hacker un percorso per restituire i fondi e, forse, salvare la propria reputazione. Per POLY, la restituzione dei fondi è l'unica priorità e questa strategia è geniale: dopotutto, si prendono più mosche con il miele che con l'aceto.

Ma a parte il soprannome amichevole di Poly e le sue dichiarazioni, ci sono pochissime prove chiare che le intenzioni originali dell'hacker fossero buone. Tra le altre prove contraddittorie, non è chiaro perché avrebbe spostato 600 milioni di dollari quando l'exploit avrebbe potuto essere dimostrato con un hack molto più piccolo.

Hubba Hubba Hubba, di chi ti fidi?

La situazione evidenzia una tensione che è cresciuta insieme all'ecosistema Criptovaluta . "L'assenza di fiducia" è un principio CORE delle Cripto, sia dal punto di vista tecnologico che filosofico. In generale, questa è un'affermazione secondo cui la fiducia può essere riposta in sistemi blockchain stabili e sicuri, piuttosto che in esseri umani fallibili ed egoisti.

Ma con la crescente complessità, competizione e posta in gioco, è cresciuta la necessità di fiducia negli esseri umani dietro le Cripto . Così come le conseguenze di una fiducia mal riposta. Ciò si applica in modo più evidente agli utenti della POLY Network, che hanno affidato i loro fondi ad essa: i vari token rubati erano stati affidati al protocollo, che funge da custode come parte della sua funzionalità cross-chain.

Ma l'hack dimostra chiaramente che T si fidavano veramente del sistema, ma dei progettisti e dei programmatori della rete. Questa fiducia è stata scossa dagli evidenti difetti del loro codice. POLY non è l'unica in questo, e di gran lunga: come detto, gli hack e gli exploit sono diventati frequenti, in particolare nei sistemi Finanza decentralizzata (DeFi), la cui complessità li rende intrinsecamente più vulnerabili di un sistema più semplice come Bitcoin.

Continua a leggere: La rapina da 600 milioni di dollari POLY dimostra che la DeFi ha bisogno degli hacker per diventare inattaccabile | Dan Kuhn

Come ha sostenuto Daniel Kuhn di CoinDesk, questi hack possono essere visti come parte del processo di creazione di questisistemi più sicuriL'hacker, indipendentemente dal fatto che questa fosse la sua intenzione iniziale o meno, ha reso POLY più forte.

Tuttavia, questi attacchi informatici mettono in luce una scomoda verità: nella DeFi, la reputazione dell'persone che costruiscono i sistemi questioni. E l'hack POLY mostra specificamente ONE ragione per cui questo è un problema. POLY è un progetto in parte sostenuto dal team dietro NEO, una blockchain fondata in Cina nel 2014. Per una persona negli Stati Uniti o in Europa, fidarsi di loro richiede di superare le barriere di lingua, geografia e politica che le Cripto avrebbero dovuto dissolvere.

Invece, il divario ha alimentato un pensiero apertamente cospiratorio sulle motivazioni di Poly. Questa mattina, POLY ha annunciato che avrebbe offerto al signor White Hat un ruolo come suo Consigliere capo per la sicurezza. Questa è molto probabilmente parte della strategia di gocciolamento di miele della rete per rimanere nelle grazie dell'hacker. Ma ha anche innescato speculazioni sul fatto che l'hacking stesso fosse un lavoro interno inteso comeuna trovata di marketing.

Un altro aspetto importante della mancanza di fiducia nelle Cripto è finalità. Nel white paper del 2008 di Satoshi Nakamoto che descrive Bitcoin, egli scrive che le transazioni "completamente non reversibili" sono una caratteristica, non un bug, del sistema: "Con la possibilità di inversione, la necessità di fiducia si diffonde". In definitiva, questo perché la reversibilità richiede un arbitro, una temuta "terza parte" con il potere di decidere chi ha ragione, quindi interrompere o restituire le transazioni. Ma eliminare gli intermediari terzi è l'intero punto della Criptovaluta, la caratteristica che la rende unica tra gli strumenti di pagamento digitale (e, almeno nei tempi moderni, tra le valute nel loro complesso).

Ciò a cui voglio arrivare qui, ovviamente, è Tether. La stablecoin è un importante pilastro dell'intero ecosistema Criptovaluta , con una capitalizzazione di mercato di 63 miliardi di $ e un ruolo chiave in facilitare il commercioLa maggior parte degli utenti probabilmente pensa a Tether come a una "Criptovaluta" più o meno simile a Bitcoin, ma la sua risposta all'hacking smentisce questa ipotesi.

Congelando i 33 milioni di dollari coinvolti nell’hacking, la società dietro Tether ha dimostrato di essere un “intermediario di fiducia”. Proprio come una banca (che in effetti è, in molti sensi), Tether ha dimostrato di poter congelare qualsiasi fondo in movimento sulla rete, in qualsiasi momento. Quando lo usi, stai riponendo fiducia negli amministratori centrali di Tether affinché non si congelino tuo fondi. (Lo stesso, per essere chiari, vale per il concorrente Tether USDC, sebbene Circle, la società dietro USDC, abbia scelto di non intervenire nel caso attuale.)

E quindi, per quanto possa essere triste, è innegabile che i sistemi Cripto oggi suscitano sempre più lo stesso eterno dilemma filosofico che affrontiamo quando abbiamo a che fare con il sistema finanziario tradizionale:

Hubba hubba hubba, di chi ti fidi?