Depois de ‘roubar’ US$ 16 milhões, este hacker adolescente parece decidido a testar ‘código é lei’ nos tribunais

Cerca de US$ 16 milhões em Criptomoeda foram roubados em uma exploração de um protocolo de Finanças descentralizadas (DeFi) na semana passada, e as vítimas acreditam saber exatamente quem fez isso.

Apesar das ameaças da equipe, no entanto, o suposto agressor – um estudante canadense de pós-graduação – se recusa a devolver os fundos, potencialmente preparando o cenário para um confronto legal inovador.

De um lado do conflito está uma criança prodígio da matemática e um defensor declarado do ethos autorregulador de “código é lei” do DeFi. Do outro, dois desenvolvedores DeFi e seus conselheiros que se sentiram forçados a fazer uma série sem precedentes de escolhas éticas preocupantes em nome de uma comunidade DAO.

Em jogo na luta estão uma série de questões espinhosas que até agora foram obscurecidas com sucesso pelo crescimento explosivo do DeFi: Qual é o papel da aplicação da lei em um setor não regulamentado de US$ 220 bilhões? Quando, se for o caso, os gendarmes devem ser convocados? E, mais importante, a noção de “código é lei” é suficiente para lidar com todas as complexidades éticas do DeFi?

Primeira violação

Em 14 de outubro, a conta oficial do Twitter da Indexed, umaGovernado por DAO O protocolo DeFi relatou um erro com dois de seus pools de liquidez de rebalanceamento automático no estilo de fundo de índice, um dos quais havia drenado quase metade dos US$ 34 milhões da Indexed valor total bloqueado.

Uma análise de uma publicação focada em exploraçãoDireito mostra que o erro foi, na verdade, um ataque lançado de um endereço Ethereum financiado pelo misturador de Política de Privacidade Tornado Cash. Desse endereço, um invasor usou empréstimos rápidos para desequilibrar o equilíbrio dos pools e comprar ativos componentes a uma taxa com grande desconto.

Nos dias seguintes, a equipe Indexed e uma “sala de guerra” ad-hoc de especialistas da indústria se reuniram para mitigar os danos e coletar informações. E no curso de sua investigação, eles acreditam ter encontrado a identidade do invasor no mundo real: é um prodígio da matemática de 18 anos que atende por “Andy”.

Tanto a equipe CORE do Indexed quanto os membros da comunidade DeFi que afirmam ter falado com Andy dizem que ele se recusou a devolver os fundos e que pretende enfrentar quaisquer acusações criminais resultantes de sua exploração no tribunal - argumentando que ele simplesmente executou uma negociação de arbitragem totalmente legal.

Um tópico de tweet de uma conta que alega pertencer a Andy agradeceu aos simpatizantes por seus comentários na semana passada e pediu recomendações de advogados na quinta-feira. Da mesma forma, em uma troca de e-mail com a CoinDesk, Andy não confirmou que havia conduzido o ataque, mas disse que estava buscando aconselhamento jurídico. (Andy parou de retornar os e-mails da CoinDesk desde então, embora outras tentativas tenham sido feitas para contatá-lo.)

Se o caso for levado a um juiz, pode ser um teste de “código é lei” – uma frase popular nos círculos DeFi referindo-se a uma mentalidade comum. Na ausência de regulamentação, o pensamento é que o ecossistema DeFi é puramente adversário e qualquer coisa permitida por código também é, por natureza, eticamente permitida. Onde um homem pode ver uma exploração, outro pode apenas ver “negociação de Cripto.”

No entanto, vários especialistas jurídicos que falaram com a CoinDesk rejeitaram essa noção e disseram que, embora um caso possa ser complexo e talvez novo, um tribunal não necessariamente cederá ao ethos não oficial do DeFi.

‘Sala de guerra’

Pouco depois que o ataque foi descoberto, a equipe CORE do Indexed encontrou uma série de pistas que os levaram a acreditar que haviam identificado o hacker: um jovem desenvolvedor que estava conversando com o membro da equipe Laurence Day há meses.

“Ele era perfeitamente afável, amigável, sorrisos, muitos emojis. Um cara perfeitamente normal”, disse Day sobre Andy em uma entrevista com a CoinDesk.

Embora Day não tenha escrito o código do protocolo, ele o mantém e, como resultado, “o entende muito profundamente”.

“T sinto que fui enganado ou algo assim porque estava discutindo informações que estavam disponíveis publicamente, mas isso me pegou de surpresa”, acrescentou Day.

Depois de terem um suspeito, a equipe montou sua “sala de guerra” online. Os membros incluíam o colaborador da Curve, Julien Bouteloup, o fundador do Rotki, Lefteris Karapetsas e o pseudônimoyearn.finance colaborador CORE “Banteg”, entre outros.

Em uma entrevista ao CoinDesk, Banteg disse que a decisão de se juntar à sala de guerra foi ONE.

“Eu T recuso esses convites porque sei como é quando você se encontra em uma situação como essa, e acredito que posso fornecer suporte significativo e a perspectiva externa necessária para ajudar a lidar com isso com elegância e evitar erros estúpidos causados ​​pelo estresse que nenhum Human deveria suportar sozinho”, disse Banteg.

Debate ético

Assim que a equipe obteve informações sobre o agressor, eles decidiram dar um ultimato: devolver os fundos ou ser denunciado às autoridades policiais.

No passado, ameaças de doxxing provaram ser eficazes. Após uma exploração de US$ 3 milhões de um token não fungível (NFT) em setembro, os desenvolvedores intimidaram com sucesso o invasor para devolver os fundos roubados após, entre outras táticas de negociação, pedir sopa de missô para a casa do invasor.

Leia Mais: US$ 3 milhões foram roubados, mas o verdadeiro roubo são esses Kia Sedonas, dizem desenvolvedores anônimos

No entanto, cumprir a ameaça talvez seja uma novidade, e a decisão gerou um debate interno significativo entre a equipe.

De acordo com o CORE colaborador do Indexed, Dillon Kellar, a natureza da estrutura DAO do Indexed influenciou muito o pensamento da equipe.

“Depois que ele deixou claro que não iria desistir, que T se importava que tivéssemos encontrado essa evidência contundente contra ele, naquele momento tivemos que tomar uma decisão difícil porque se simplesmente recorrêssemos à polícia, se KEEP essa informação para nós mesmos, estaríamos efetivamente assumindo a responsabilidade pela situação, e T poderíamos fazer isso”, disse Kellar.

Outros membros do DAO podem desejar buscar remuneração individual ou coletivamente em um tribunal civil, e se os membros CORE da equipe retiverem as informações pessoais de Andy, isso poderá impedi-los de fazê-lo, o que acabará gerando um argumento moral a favor do doxxing.

“Não nos sentimos confortáveis ​​com a ideia de doxxing publicamente, mas a Indexed não é uma entidade legal – é uma DAO. E Dillon e eu T temos o direito de possuir exclusivamente essas informações, ou de assumir a propriedade da batalha legal. Esta é uma resposta encurralada”, disse Day.

Banteg também expressou desconforto com a decisão, mas desistiu de levá-la adiante.

“É sem precedentes. Em termos de ética, como você pode imaginar, tudo isso parece bem desconfortável. Acredito que o Indexed deu ao hacker mais do que saídas suficientes, mas ele acha que é invencível.”

No final, a sala de guerra chegou a um consenso total.

“Não há ONE na sala que tenha dado séria resistência à rota que foi tomada. Sabemos que fizemos tudo o que podíamos”, disse Day. “T ligo para os edgelords e os sapos. Qualquer um que tenha algo valioso a dizer sobre isso está conosco.”

Criança prodígio

No entanto, quando o prazo da equipe passou sem nenhuma resposta de Andy, Banteg fez uma Confira surpreendente: o atacante T é apenas "imensamente talentoso" - com apenas 18 anos, ele é um gênio adolescente.

De acordo com uma versão em cache de seu site pessoal, agora extinto, Andy concluirá em breve seu mestrado em matemática aplicada pela Universidade de Waterloo, em Ontário (também a alma mater do cofundador da Ethereum, Vitalik Buterin); ele é autor de artigos sobre variedades suaves de Schubert e esferas de Riemann, entre outros assuntos complexos; e, de acordo com um artigo de 2016 do Globe and Mail do Canadá, ele concluiu o ensino médio em matemática com apenas 13 anos de idade.

Sua presença online também indica uma veia vaidosa. Em um fórum da Wikipedia em 2016, Andy se referiu a si mesmo como um “especialista em matemática e física teórica”. Ele até se inscreveu em um wiki de game show como um “matemático notável”.

A alegação é agora uma “piada de mau gosto” na sala de guerra indexada, disse Day: Ele se tornou exatamente isso, embora não por sua bolsa de estudos.

“Acho que ele se manifestou melhor do que todos nós”, acrescentou Day.

Preocupações paternas

Essa Confira apresentou à sala de guerra mais um enigma ético, pois muitos sentiram que denunciar um adolescente tinha peso adicional. As novas informações os impediram de “largar o martelo” imediatamente, como Kellar disse.

“Eu dava aulas de ciência da computação e nunca tive alguém do nível de Andy, mas conheço o tipo. Quando você é esse tipo específico de pessoa – olha, 18 é um homem aos olhos da lei, mas mentalmente você ainda é uma criança”, disse Day. “T sei se isso soa como algo depreciativo para ele ou se estou soando excessivamente simpático, mas acho que esse é um caso de vasta, vasta habilidade às custas de quase todo o resto.”

Da mesma forma, Jason Gottlieb, do escritório de advocacia dos EUA Morrison Cohen, enquadrou a situação em termos paternalistas. Gottlieb foi contratado por Day e Kellar para representar a Indexed na denúncia dos crimes às autoridades policiais.

“Acho que o fato de ele ter apenas 18 anos é algo que pode ser motivo para empatia. Tenho um filho que está perto dessa idade, então, do ponto de vista de um pai, tenho alguma empatia, sabendo que adolescentes podem fazer coisas estúpidas. Sei que fiz coisas estúpidas quando adolescente”, disse Gottlieb.

No entanto, as novas informações levaram a equipe a novas pistas, incluindo a Confira de que Andy supostamente frequentava círculos extremistas online. Durante a investigação, a equipe descobriu que ele fazia parte de um vazamento de dados de um serviço da web que hospedava comunidades alt-right.

Há também uma série de outras pistas sugerindo ideologias de ódio: os dados de chamada para o ataque de Andy incluíam uma injúria racial; o endereço de ataque do Ethereum começa com "BA5Ed1488", uma referência numerológica a um slogan neonazista; um tópico de tuítes bizarro do ZetaZero incluía colocar certas palavras entre colchetes triplos, um popular apito antissemita.

Além disso, a conta ZetaZero retuitou recentemente uma publicação se referindo a Andy como "o Dylan Roof das piscinas Balancer ", uma referência a um terrorista supremacista branco que matou nove fiéis negros em 2015.

Embora os membros da sala de guerra tenham dito que não conseguiram identificar um momento específico em que tomaram a firme decisão de divulgar as informações de Andy, apesar de sua idade, os laços com o extremismo influenciaram seu pensamento.

“O frustrante é que, até que ele tivesse tornado todas essas partes feias de si mesmo conhecidas – a supremacia branca, o antissemitismo, a natureza geral e insuportável dele – se ele tivesse retornado 90% e ficado com uma recompensa, teríamos pelo menos pedido a ele para auditar o código. E se ele tivesse divulgado essas coisas conosco, teríamos dado a ele de US$ 50 mil a US$ 100 mil e o feito se juntar à equipe num piscar de olhos”, disse Day.

Kellar também disse que a idade por si só não poderia distrair da gravidade das ações de Andy.

“Para um jovem normal de 18 anos, eu teria preocupações sobre divulgar suas informações. E não quer dizer que eu ainda T, mas o fato é que ele é um jovem de 18 anos muito avançado. Ele tem um mestrado. Ele terminou o ensino médio aos 13. E ele tomou a atitude de roubar US$ 16 milhões. E se ele vai ser adulto o suficiente para fazer essas coisas, ele é adulto o suficiente para enfrentar as consequências legais”, disse Kellar.

Código de Direito

Aos olhos de alguns membros da comunidade DeFi, no entanto, Andy T roubou absolutamente nada.

Um grito de guerra popular para muitos fanáticos por DeFi é “código é lei”, muitas vezes chamado de forma irônica de “lei de códigos”. Essa visão, talvez melhor elucidada em umensaio pela estagiária pseudônima da e-Girl Capital, “Odette”, afirma que não existe “hack” ou “rug pull” no DeFi, e que é responsabilidade de cada ator VET cuidadosamente todas as ações na cadeia – se você perder dinheiro em um hack ou contrato defeituoso, a responsabilidade é sua.

Como todas as informações estão disponíveis gratuitamente na cadeia e as ações na cadeia são imutáveis, o DeFi é, em última análise, um ambiente autocontido e determinístico que opera fora dos parâmetros regulatórios e éticos normais, ou assim pensa-se.

Day teme que uma facção da comunidade DeFi que acredita que código é lei esteja incitando Andy.

“Acho que ele está ouvindo uma legião de sapos. Eles estão ligando para ele, pedindo dinheiro e o aclamando como um herói”, disse ele.

T é incomum que admiradores se juntem a hackers bem-sucedidos. Após o hack de US$ 613 milhões da POLY Network, pedintes e admiradores mensagens usadas na rede Ethereum para aplaudir o culpado.

Consenso social

No entanto, na prática, a noção de “código é lei” pode já ter sido refutada.

“Francamente, é cansativo”, disse Lefteris Karapetsas ao CoinDesk. “Tivemos essa briga há cinco anos.”

Em 2016, Karapetsas era o líder técnico deSlock.it, uma startup que liderou o DAO – um notório experimento de investimento inicial cujo fracasso levou a uma divisão da cadeia que levou à criação do Ethereum Classic.

“A versão 'código é lei' do Ethereum nasceu disso. Ela se chama ETC e ainda existe. Os proponentes da salada de repolho podem simplesmente ir brincar lá”, disse Karapetsas.

A atual cadeia canônica do Ethereum é o resultado da comunidade alcançando um consenso social para efetivamente "desfazer" o hack do DAO em vez de deixar o código ser totalmente determinístico - e isso é uma coisa boa, de acordo com Karapetsas.

Leia Mais: O hack do DAO ainda é um mistério

“Nenhum construtor neste espaço em sã consciência acredita que código é lei. É apenas um meme perpetuado por observadores anônimos que só gostam de ver o caos se desenrolar”, disse ele.

Ele acrescentou que se a comunidade adotasse tais princípios, o resultado final rapidamente se tornaria distópico.

“Se o código fosse lei, então este campo seria apenas um playground para hackers que estariam continuamente tentando roubar fundos de protocolos. Eles seriam epônimos e idolatrados. Enquanto os usuários seriam culpados por ‘não ler o código bem o suficiente’. Que é essencialmente o que todo defensor da salada de repolho diz”, ele disse.

Rugas legais

A questão agora é se “código é lei” será aceito em um tribunal.

Gottlieb confirmou ao CoinDesk que entregou todas as informações relevantes a diversas agências policiais, mas se recusou a especificar quais.

Embora seja uma questão em aberto se essas agências terão a experiência técnica para analisar o caso e emitir um mandado de prisão, Gottlieb sugeriu que elas estão mais avançadas do que alguns nativos do DeFi podem pensar.

“Eu T presumiria que as autoridades não estejam familiarizadas com esse tipo de coisa”, ele disse. “Já procurei contatos que tenho em várias agências de aplicação da lei, e há pessoas na aplicação da lei que lidam com hacks e roubos de Criptomoeda .”

Gottlieb observou que os indivíduos com quem falou são “muito sofisticados” em sua compreensão do espaço e que estão “interessados” no caso.

Independentemente de ser preso, Andy também pode ter motivos para apresentar contra-acusações.

Matt Burgoyne, advogado de valores mobiliários e Cripto na firma canadense McLeod Law LLP, disse que mesmo antes do caso chegar a um juiz já pode haver complicações. Burgoyne disse ao CoinDesk que não está representando Andy.

“Doxxing pode ser ilegal no Canadá e a extensão das consequências legais depende das circunstâncias. Doxxing pode dar origem a acusações de assédio criminal, invasão de Política de Privacidade e perseguição. T acredito que isso vá para o tribunal e, se fosse, tenho certeza de que haveria danos de ambos os lados”, disse ele.

Erich Dylus, engenheiro jurídico da rede Oracle API3, expressou desconforto pessoal com o doxxing e também disse que isso pode levar a contra-acusações.

“Acho que doxxing público pode ser extremamente perigoso e frequentemente leva a um vigilantismo indesejável e deslocado ou julgamento pela Opinião pública. Sem mencionar a possibilidade de abrir caminhos de responsabilidade para os doxxers”, disse ele.

Em um tuíte na quinta-feira, Kellar disse que Andy e sua família estavam recebendo ameaças e pediu que a comunidade parasse com o abuso e buscasse outras “soluções legais”.

Roubar do prato de coleta

No entanto, uma vez analisadas essas queixas, a questão passa a ser se um tribunal pode lidar com a complexidade dos formadores de mercado automatizados ponderados (AMM), empréstimos rápidos e as chamadas “explorações econômicas”.

Geoff Costeloe, um associado da empresa canadense Lindsey MacCarthy LLP e membro da LexDAO, disse que a estrutura DAO da Indexed pode levar a soluços.

“Vou acompanhar o lado da recuperação da questão”, disse ele. “Como a Indexed é uma DAO descentralizada, estou curioso para ver como eles registram sua reivindicação e como descrevem sua relação com o protocolo e outros membros da DAO. Eles dirão que é uma parceria ou uma corporação? Ou dirão que são indivíduos?”

Gottlieb, o advogado do Indexed, descartou essas preocupações. Ele comparou a façanha a uma congregação de igreja que levantou fundos para alguma causa: se roubado, não é menos um crime só porque seria difícil rastrear precisamente quem possuía o quê em um momento específico.

Pura ilusão

Da meia dúzia de advogados com quem a CoinDesk conversou, todos concordaram que, embora o caso em potencial possa parecer que abrirá uma série de precedentes à primeira vista, a realidade é que um tribunal provavelmente avaliará a exploração em termos simples.

O advogado Cripto Stephen Palley alertou que, se o caso chegar aos tribunais, poderá ser o momento em que acabará definitivamente com as noções fantasiosas de autorregulamentação do DeFi.

“É o cúmulo da estupidez dizer 'código é lei' nessa situação. É um encantamento mágico que não significa nada”, disse o advogado de Anderson Kill ao CoinDesk.

“Não há nada terrivelmente novo aqui”, ele acrescentou. “Vinho velho, garrafas novas; ganância Human egoísta. Roubar um banco é uma 'façanha econômica?' Dizer isso é muito estúpido. Não há nada sobre isso, se tratado corretamente, que seja um precedente inovador.”

Vários advogados e membros da equipe CORE do Indexed apontaram, em particular, sinais da intenção de Andy que poderiam prejudicar sua defesa.

“Este T foi um caso em que houve um contrato que teve apenas um erro simples, o que algumas pessoas estão chamando de exploração econômica”, disse Kellar, o membro da equipe CORE da Indexed. “Ele T puxou uma alavanca que cuspiu muitas moedas, foi um ataque sofisticado que explorou uma vulnerabilidade muito específica que ninguém encontrou por um ano.”

Uma sequência de ações que levaram ao ataque prejudicará qualquer tentativa de Andy de enquadrar a exploração como um “feliz acidente”, acrescentou Kellar.

“Se um caixa ou sistema [de banco] comete um erro e alguém fica injustamente enriquecido, isso certamente T impõe sanções criminais ao indivíduo que recebeu uma benção”, disse Costeloe, o advogado da MacCarthy LLP. “Eles podem ter sido injustamente enriquecidos, mas também foram inocentemente enriquecidos, sem nenhuma intenção de sua parte. A situação com a Indexed é um BIT diferente disso porque o hacker escreveu o código e atacou o protocolo de uma forma que mostra clara intenção de enriquecer a si mesmo.”

No final, vários advogados rejeitaram o argumento de que “código é lei”, referindo-se a ele como “ilusão” e considerando-o “delirante”.

Determinação sombria

Na manhã de quinta-feira, a suposta conta ZetaZero do Twitter de Andy postou um pequeno tópico no qual ele enquadrou a próxima batalha legal como um “duelo”.

Apesar da aparente inércia pendendo para um confronto legal, tanto Gottlieb quanto Palley notaram que se Andy devolvesse os fundos, há uma chance de que o incidente não precise ser litigado.

Palley disse que devolver os fundos “T desfaz o crime”, mas pode levar o promotor a se recusar a prosseguir com as acusações.

A equipe CORE da Indexed, no entanto, atingiu um ponto de “determinação severa”, de acordo com Day.

“Já tive tempo para processar tudo isso agora, e vai haver um turbilhão que se formará no Twitter, mas no balanço das coisas eu sei que essa foi a coisa certa a fazer. Dillon [Kellar] e eu seremos párias em partes do espaço agora, mas foi a coisa certa a fazer”, ele disse sobre doxxing Andy.

Kellar deixou claro que eles também estão vendo o tribunal como um resultado cada vez mais provável.

“Algumas pessoas disseram que ele pode se mudar para a Venezuela ou algum lugar sem extradição – T acho que isso vá acontecer. Realmente parece que ele quer que isso seja um caso de construção de precedentes, então se ele T devolver os fundos, espero que isso vá para o tribunal”, disse Kellar.

“Ele está tentando gravar seu nome na história, e vai conseguir, mas de forma ruinosa”, disse Day. “É um BIT de partir o coração. Um desperdício colossal de talento, tempo e dinheiro. E para quê? Eu só quero dizer a ele: 'Puta merda, Andy, por que você nos fez fazer isso?'”