После «кражи» 16 миллионов долларов этот юный хакер, похоже, намерен проверить принцип «Код — это закон» в судах

На прошлой неделе в результате взлома протокола децентрализованных Финансы (DeFi) было украдено около 16 миллионов долларов в Криптовалюта , и жертвы полагают, что точно знают, кто это сделал.

Однако, несмотря на угрозы со стороны команды, предполагаемый нападавший — подросток из Канады, аспирант — отказывается возвращать средства, что может стать поводом для революционного юридического противостояния.

С ONE стороны конфликта — вундеркинд-математик и ярый сторонник саморегулирующегося принципа DeFi «код — это закон». С другой — пара разработчиков DeFi и их консультанты, которые почувствовали себя вынужденными сделать беспрецедентную серию тревожных этических выборов от имени сообщества DAO.

На кону в этой борьбе ряд острых вопросов, которые до сих пор успешно затушевываются взрывным ростом DeFi: Какова роль правоохранительных органов в нерегулируемом секторе стоимостью 220 миллиардов долларов? Когда, если вообще стоит, следует вызывать жандармов? И, что самое главное, достаточно ли концепции «кодекс — это закон», чтобы справиться со всеми этическими сложностями DeFi?

Первое нарушение

14 октября официальный аккаунт Indexed в Twitterуправляемый DAO Протокол DeFi сообщил об ошибке в двух своих автоматически ребалансирующихся пулах ликвидности, работающих по принципу индексного фонда. ONE из них истощила почти половину из 34 миллионов долларов Indexed. общая стоимость заблокирована.

Анализ публикации, посвященной эксплойтамРект показывает, что ошибка на самом деле была атакой, запущенной с адреса Ethereum , финансируемого миксером Политика конфиденциальности Tornado Cash. С этого адреса злоумышленник использовал мгновенные кредиты, чтобы вывести из равновесия баланс пулов и выкупить активы компонентов по сильно сниженной ставке.

В последующие дни команда Indexed и специальная «военная комната» отраслевых экспертов собрались, чтобы смягчить ущерб и собрать информацию. И в ходе своего расследования они полагают, что обнаружили реальную личность злоумышленника: это 18-летний вундеркинд-математик, который выступает под псевдонимом «Энди».

Как CORE команда Indexed, так и члены сообщества DeFi, утверждающие, что общались с Энди, говорят, что он отказался возвращать средства и намерен предстать перед судом по всем уголовным обвинениям, вытекающим из его действий, утверждая, что он просто совершил полностью законную арбитражную сделку.

Ветка твитов с аккаунта, утверждающего, что он принадлежит Энди, поблагодарила доброжелателей за их комментарии на прошлой неделе и попросила дать рекомендации по адвокату в четверг. Аналогичным образом, в переписке по электронной почте с CoinDesk Энди не подтвердил, что он совершил атаку, но сказал, что ищет адвоката. (С тех пор Энди перестал отвечать на электронные письма CoinDesk, хотя были предприняты другие попытки связаться с ним.)

Если дело дойдет до судьи, это может стать проверкой «код есть закон» — популярной фразы в кругах DeFi, относящейся к общему мышлению. При отсутствии регулирования, как следует из рассуждений, экосистема DeFi является чисто состязательной, и все, что разрешено кодом, также по своей природе этически допустимо. Там, где ONE человек может увидеть эксплойт, другой может просто увидеть «Криптo.”

Однако ряд экспертов по правовым вопросам, говоривших с CoinDesk, отвергли эту идею и заявили, что, хотя дело может быть сложным и, возможно, новым, суд не обязательно уступит неофициальным принципам DeFi.

«Военная комната»

Вскоре после обнаружения атаки CORE команда Indexed нашла ряд улик, которые позволили им предположить, что они идентифицировали хакера: им оказался молодой разработчик, который на протяжении нескольких месяцев общался с членом команды Лоуренсом Дэем.

«Он был совершенно приветлив, дружелюбен, улыбался, много эмодзи. Совершенно нормальный чувак», — сказал Дэй об Энди в интервью CoinDesk.

Хотя Дэй не писал код протокола, он его поддерживает и, как следствие, «достаточно глубоко его понимает».

«Я T считаю, что меня обманули или что-то в этом роде, потому что я обсуждал общедоступную информацию, но это действительно застало меня врасплох», — добавил Дэй.

Как только у них появился подозреваемый, команда собрала свою онлайн-«боевую комнату». В ее состав вошли участник Curve Жюльен Бутелу, основатель Rotki Лефтерис Карапетсас и псевдонимyearn.finance CORE участник «Banteg» и другие.

В интервью CoinDesk Бантег сказал, что решение присоединиться к оперативному штабу далось ONE легко.

«Я T отказываюсь от этих приглашений, потому что знаю, каково это, когда оказываешься в такой ситуации, и верю, что могу оказать значимую поддержку и необходимую точку зрения со стороны, чтобы помочь достойно справиться с ней и избежать глупых ошибок, вызванных стрессом, который ни один Human не должен переживать в одиночку», — сказал Бантег.

Этические дебаты

Получив информацию о злоумышленнике, команда решила выдвинуть ультиматум: вернуть средства или сообщить о себе в правоохранительные органы.

В прошлом угрозы доксинга оказались эффективными. После 3-миллионной атаки на невзаимозаменяемый токен (NFT) в сентябре разработчики успешно запугали злоумышленника, заставив его вернуть украденные средства, заказав, среди прочего, суп мисо на дом злоумышленника.

Читать дальше: Было украдено 3 миллиона долларов, но настоящая кража — это Kia Sedona, говорят анонимные разработчики

Однако реализация угрозы на практике, пожалуй, является чем-то новым, и это решение вызвало серьезные внутренние дебаты в команде.

По словам CORE участника проекта Indexed Диллона Келлара, характер структуры DAO проекта Indexed оказал большое влияние на ход мыслей команды.

«Как только он ясно дал понять, что не сдастся, что ему T равно, что мы нашли у него эти изобличающие улики, в этот момент нам пришлось принять трудное решение, потому что если мы просто обратимся в правоохранительные органы, если мы KEEP эту информацию при себе, мы фактически возьмем ситуацию под контроль, а мы T могли этого сделать», — сказал Келлар.

Другие члены DAO могут пожелать индивидуально или коллективно добиваться вознаграждения в гражданском суде, и если CORE члены команды скроют личную информацию Энди, это может помешать им сделать это, что в конечном итоге послужит моральным аргументом в пользу доксинга.

«Нам не нравится идея публичного доксинга, но Indexed не является юридическим лицом — это DAO. И Диллон, и я T имеем права единолично владеть этой информацией или брать на себя ответственность за юридическую тяжбу. Это загнанный в угол ответ», — сказал Дэй.

Бантег также выразил недовольство этим решением, но поддержал его реализацию.

«Это беспрецедентно. С этической точки зрения, как вы можете себе представить, все это выглядит довольно тревожно. Я считаю, что Indexed предоставил хакеру более чем достаточно путей к отступлению, но он думает, что он непобедим».

В конце концов, в оперативном центре был достигнут полный консенсус.

«В комнате нет ONE , кто бы серьезно воспротивился выбранному пути. Мы знаем, что сделали все, что могли», — сказал Дэй. «T плевать на повелителей края и лягушек. Все, у кого есть что-то ценное, чтобы сказать по этому поводу, с нами».

вундеркинд

Однако, поскольку крайний срок подачи заявок команды прошел, а от Энди не поступало никаких известий, Бантег сделал неожиданное Истории: нападающий T просто «чрезвычайно талантлив» — в свои 18 лет он уже юный гений.

Согласно кэшированной версии его ныне неработающего личного сайта, Энди скоро получит степень магистра прикладной математики в Университете Ватерлоо в Онтарио (также альма-матер соучредителя Ethereum Виталика Бутерина); он является автором статей по гладким многообразиям Шуберта и сферам Римана, а также по другим сложным предметам; а согласно статье 2016 года в канадской газете Globe and Mail, он закончил среднюю школу по математике всего в 13 лет.

Его присутствие в сети также указывает на тщеславную черту характера. На форуме Википедии в 2016 году Энди назвал себя «экспертом в области математики и теоретической физики». Он даже вписал себя в вики игрового шоу как «известного математика».

По словам Дэя, это заявление теперь стало «черной шуткой» в стратегической комнате Indexed: он стал именно таковым, хотя и не из-за своей учености.

«Думаю, он превзошел всех нас», — добавил Дэй.

Отцовские заботы

Это Истории поставило военную комнату перед еще одной этической дилеммой, поскольку многие считали, что сообщение о подростке несет дополнительный вес. Новая информация помешала им немедленно «бросить молоток», как выразился Келлар.

«Я преподавал информатику, и у меня никогда не было никого уровня Энди, но я знаю этот тип. Когда вы относитесь к этому типу людей — смотрите, 18 лет — это мужчина в глазах закона, но в душе вы все еще ребенок», — сказал Дэй. «Я T знаю, звучит ли это как принижение для него или я звучу чрезмерно сочувственно, но я думаю, что это случай огромного, огромного мастерства за счет почти всего остального».

Аналогичным образом Джейсон Готтлиб из американской юридической фирмы Morrison Cohen сформулировал ситуацию в патерналистских терминах. Готлиб был нанят Day and Kellar, чтобы представлять Indexed при сообщении о преступлениях в правоохранительные органы.

«Я думаю, тот факт, что ему всего 18 лет, может быть причиной для сочувствия. У меня есть сын, который близок к этому возрасту, поэтому с точки зрения отца у меня есть некоторое сочувствие, зная, что подростки могут делать глупости. Я знаю, что я делал глупости, будучи подростком», — сказал Готтлиб.

Однако новая информация привела команду к новым зацепкам, включая Истории того, что Энди якобы посещал экстремистские круги в сети. В ходе расследования команда обнаружила, что он был частью утечки данных из веб-сервиса, размещающего сообщества альтернативных правых.

Есть также множество других улик, указывающих на ненавистнические идеологии: данные вызова для атаки Энди включали расистское оскорбление; адрес атакующего Ethereum начинается с «BA5Ed1488», нумерологической ссылки на неонацистский лозунг; странная ветка твитов от ZetaZero включала заключение определенных слов в тройные скобки — популярный антисемитский собачий свисток.

Кроме того, аккаунт ZetaZero недавно ретвитнул пост, в котором Энди называли «Диланом Руфом бассейнов Balancer », имея в виду террориста-расиста, убившего девять чернокожих прихожан церкви в 2015 году.

Хотя члены оперативного штаба заявили, что не могут назвать конкретный момент, когда они приняли твердое решение раскрыть информацию об Энди, несмотря на его возраст, связь с экстремизмом сыграла свою роль в их мышлении.

«Самое обидное, что пока он не показал все эти уродливые стороны себя — превосходство белой расы, антисемитизм, его общую, невыносимую тупую натуру — если бы он вернул 90% и оставил себе вознаграждение, мы бы, по крайней мере, попросили его провести аудит кода. А если бы он раскрыл нам эти вещи, мы бы дали ему от 50 до 100 тысяч долларов и в мгновение ока включили его в команду», — сказал Дэй.

Келлар также сказал, что возраст сам по себе не может отвлечь внимание от серьезности поступка Энди.

«Что касается обычного 18-летнего юноши, я бы беспокоился о раскрытии его информации. И это не значит, что я до сих пор этого не T, но факт в том, что он очень продвинутый 18-летний юноша. У него есть степень магистра. Он закончил среднюю школу в 13 лет. И он совершил действие по краже 16 миллионов долларов. И если он собирается быть достаточно взрослым, чтобы делать такие вещи, он достаточно взрослый, чтобы столкнуться с правовыми последствиями», — сказал Келлар.

Кодекс

Однако, по мнению некоторых членов сообщества DeFi, Энди вообще ничего T крал.

Популярный лозунг многих приверженцев DeFi — «код — это закон», часто презрительно именуемый «кодовым законом». Эта точка зрения, возможно, лучше всего изложенная вэссе стажер e-Girl Capital под псевдонимом «Одетт» утверждает, что в DeFi не существует таких понятий, как «взлом» или «перетягивание коврика», и что каждый участник несет ответственность за тщательную VET всех действий в цепочке — если вы потеряете деньги из-за взлома или неисправного контракта, это будет на вашей совести.

Поскольку вся информация свободно доступна в цепочке, а действия в цепочке неизменяемы, DeFi в конечном итоге представляет собой замкнутую и детерминированную среду, функционирующую вне обычных нормативных и этических параметров, или так принято считать.

Дэй обеспокоен тем, что часть сообщества DeFi, которая верит в то, что код — это закон, теперь подстрекает Энди.

«Я думаю, он слушает легион лягушек. Они называют его базовым, просят у него денег и приветствуют его как героя», — сказал он.

Поклонники, стекающиеся к успешным хакерам, T являются чем-то необычным. После взлома POLY Network на сумму 613 миллионов долларов, попрошайки и поклонники использованные сообщения в сети Ethereum , чтобы подбодрить виновника.

Социальный консенсус

Однако на практике концепция «кодекс — это закон» уже, возможно, опровергнута.

«Честно говоря, это утомительно», — сказал Лефтерис Карапетсас CoinDesk. «У нас была эта борьба пять лет назад».

Еще в 2016 году Карапетсас был техническим руководителемSlock.it, стартап, который возглавил The DAO — печально известный ранний инвестиционный эксперимент, провал которого привел к расколу цепи, что привело к созданию Ethereum Classic.

«Версия Ethereum «код — это закон» родилась из этого. Она называется ETC и существует до сих пор. Сторонники капустного салата могут просто пойти и поиграть там», — сказал Карапетсас.

Текущая каноническая цепочка Ethereum является результатом достижения сообществом социального консенсуса относительно эффективной «отмены» взлома DAO вместо того, чтобы позволить коду быть полностью детерминированным, — и это хорошо, по словам Карапетсаса.

Читать дальше: Взлом DAO все еще остается загадкой

«Ни один строитель в этом пространстве в здравом уме не верит, что кодекс — это закон. Это просто мем, который увековечивается анонимными наблюдателями, которым просто нравится наблюдать за разворачивающимся хаосом», — сказал он.

Он добавил, что если бы общество приняло такие принципы, конечный результат быстро стал бы антиутопическим.

«Если бы код был законом, то эта область была бы просто игровой площадкой для хакеров, которые постоянно пытались бы украсть средства из протоколов. Они были бы одноименными и идолизированными. В то время как пользователи были бы обвинены в том, что «недостаточно хорошо читают код». Что, по сути, и говорит каждый сторонник салата из капусты», — сказал он.

Юридические морщины

Теперь возникает вопрос, будет ли принцип «кодекс — это закон» иметь силу в суде.

Готтлиб подтвердил CoinDesk , что передал всю соответствующую информацию нескольким правоохранительным органам, но отказался уточнить, каким именно.

Хотя вопрос о том, будут ли у этих агентств технические знания и опыт, необходимые для анализа дела и выдачи ордера на арест, остается открытым, Готтлиб предположил, что они продвинулись дальше, чем могут подумать некоторые специалисты DeFi.

«Я бы T предполагать, что власти не знакомы с подобными вещами», — сказал он. «Я уже связался со своими контактами в различных правоохранительных органах, и в правоохранительных органах есть люди, которые занимаются взломом и кражами Криптовалюта ».

Готлиб отметил, что люди, с которыми он общался, «очень хорошо разбираются» в этом вопросе и «интересуются» этим делом.

Независимо от того, будет ли он арестован, у Энди также могут быть основания подать встречные обвинения.

Мэтт Бергойн, юрист по ценным бумагам и Криптo в канадской фирме McLeod Law LLP, сказал, что даже до того, как дело попадет в суд, могут возникнуть осложнения. Бергойн сообщил CoinDesk, что он не представляет интересы Энди.

«Доксинг может быть незаконным в Канаде, и степень правовых последствий зависит от обстоятельств. Доксинг может повлечь за собой обвинения в уголовном преследовании, вторжении в Политика конфиденциальности и преследовании. Я T верю, что это дойдет до суда, а если дойдет, то уверен, что обе стороны понесут убытки», — сказал он.

Эрих Дайлус, инженер-юрист Oracle Network API3, выразил личный дискомфорт от доксинга и также сказал, что это может привести к встречным обвинениям.

«Я думаю, что публичный доксинг может быть чрезвычайно опасен и часто приводит к нежелательному неуместному самосуду или суду со стороны общественного Мнение. Не говоря уже о потенциальном открытии путей привлечения к ответственности для доксеров», — сказал он.

В четверг в своем твите Келлар сообщил, что Энди и его семья получают угрозы, и призвал сообщество прекратить насилие и прибегнуть к другим «правовым средствам».

Кража с тарелки для сбора пожертвований

Однако после разбора этих жалоб встает вопрос о том, сможет ли суд справиться со сложностью автоматизированных маркет-мейкеров (AMM), мгновенных кредитов и так называемых «экономических подвигов».

Джефф Костелоу, партнер канадской фирмы Lindsey MacCarthy LLP и член LexDAO, заявил, что структура DAO Indexed может привести к сбоям.

«Я буду следить за восстановлением активов», — сказал он. «Поскольку Indexed — это децентрализованная DAO, мне любопытно посмотреть, как они подадут иск и как опишут свое отношение к протоколу и другим членам DAO. Скажут ли они, что это партнерство или корпорация? Или они скажут, что они частные лица?»

Готтлиб, юрист Indexed, отмел эти опасения. Он сравнил эксплойт с церковной общиной, которая собирала средства на какую-то цель: если украдено, это не меньшее преступление, просто потому что будет сложно отследить, кто именно чем владел в определенное время.

Чистейшее заблуждение.

Из полудюжины юристов, с которыми пообщался CoinDesk , все согласились, что, хотя на первый взгляд может показаться, что потенциальное дело создаст ряд прецедентов, реальность такова, что суд, скорее всего, оценит уязвимость простыми словами.

Юрист по Криптo Стивен Пэлли предупредил, что если дело дойдет до суда, это может стать моментом, который окончательно положит конец причудливым представлениям DeFi о саморегулировании.

«Вершина глупости — говорить в этой ситуации «код — это закон». Это магическое заклинание, которое ничего не значит», — сказал адвокат Андерсона Килла CoinDesk.

«Здесь нет ничего ужасно нового», — добавил он. «Старое вино, новые бутылки; корыстная Human жадность. Ограбление банка — это «экономический подвиг»? Говорить так — чертовски глупо. В этом нет ничего, что, если подойти к этому правильно, было бы новаторским прецедентом».

Несколько юристов и членов CORE команды Indexed указали, в частности, на признаки намерений Энди, которые могли бы подорвать его защиту.

«Это T был случай, когда в контракте была простая ошибка, которую некоторые называют экономической эксплойт», — сказал Келлар, член CORE команды Indexed. «Он T дернул рычаг, который выплюнул слишком много монет, это была сложная атака, которая использовала очень специфическую уязвимость, которую никто не находил в течение года».

Последовательность действий, предшествовавших атаке, подорвет любые попытки Энди представить инцидент как «счастливую случайность», добавил Келлар.

«Если кассир [банка] или система совершает ошибку, и кто-то несправедливо обогащается, это, безусловно, T влечет за собой уголовных санкций для лица, получившего благо», — сказал Костелоу, юрист MacCarthy LLP. «Они могли быть несправедливо обогащены, но они также были невиновно обогащены, без какого-либо намерения с их стороны. Ситуация с Indexed BIT отличается, потому что хакер написал код и атаковал протокол таким образом, что это демонстрирует явное намерение обогатить его или ее».

В конце концов, несколько юристов отвергли аргумент «кодекс — это закон», назвав его «заблуждением» и посчитав его «бредом».

Мрачная решимость

В четверг утром на аккаунте Энди ZetaZero в Twitter появилась короткая запись, в которой он назвал предстоящую юридическую битву «дуэлью».

Несмотря на кажущуюся инерцию, склоняющую к судебному разбирательству, и Готтлиб, и Пэлли отметили, что если Энди вернет средства, есть вероятность, что инцидент не придется рассматривать в суде.

Пэлли заявил, что возврат средств «T отменяет преступления», но может привести к тому, что прокурор откажется от предъявления обвинений.

Однако, по словам Дэя, CORE команда Indexed достигла точки «мрачной решимости».

«У меня было время все это обдумать, и сейчас в Twitter начнется буря, но в целом я знаю, что это было правильным решением. Диллон [Келлар] и я теперь будем изгоями в некоторых местах, но это было правильным решением», — сказал он о доксинге Энди.

Келлар ясно дал понять, что они также рассматривают суд как все более вероятный исход.

«Некоторые люди говорят, что он может переехать в Венесуэлу или куда-то еще без экстрадиции — я T думаю, что это произойдет. Похоже, он действительно хочет, чтобы это стало прецедентным делом, поэтому, если он T вернет средства, я ожидаю, что дело дойдет до суда», — сказал Келлар.

«Он пытается вписать свое имя в историю, и он этого добьется, но это будет губительно», — сказал Дэй. «Это BIT душераздирающе. Колоссальная трата таланта, времени и денег. И ради чего? Я просто хочу сказать ему: «Черт возьми, Энди, зачем ты заставил нас это сделать?»