Проблеми довіри до POLY Hack і Crypto

"А тепер, друзі, настав час: Кому ви довіряєте? Hubba hubba hubba, money money money. Кому ви довіряєте? Я роздаю гроші безкоштовно. А де Бетмен? Вдома, стирає колготки!" – Джокер (Бетмен, 1989)

Коли Мережу POLY було зламано на початку минулого тижня для різних криптовалют на суму близько 600 мільйонів доларів, атака була помітна головним чином своїм розміром. Це найбільший Крипто за всю історію – хоча й не набагато більше, ніж у 2018 році Злом Coincheck на 500 мільйонів доларів. З висоти 50 000 футів це здавалося логічною продовженням серії хаків, що повертаються до експлойту, який нібито збив гору Гокс приблизно у 2013 році, сам по собі вартий близько 473 мільйонів доларів у 2014 році BTC ціни.

Коротше кажучи, незважаючи на свій розмір, злом POLY був T таким вже й цікавим.

Тоді все стало дивним.

Девід З. Морріс — головний оглядач CoinDesk.

Як повідомляється, хакер вступив у багатосторонні переговори, включаючи POLY, майнерів, охоронну фірму Slowmist і емітента стейблкойнів Tether. Природа цих переговорів досі T зовсім зрозуміла, але ми знаємо принаймні дві речі: POLY запропонувала хакеру 500 000 доларів США за повернення вкрадених коштів, а Slowmist стверджує, що ідентифікував IP-адресу та електронну адресу хакера (хоча хакер заперечував компрометацію).

Третя сильна гіпотеза полягає в тому, що хакер почав усвідомлювати, що йому/воні/їм буде дуже важко ліквідувати будь-що близько 600 мільйонів доларів у токенах (ми T знаємо статі хакера, але я буду використовувати «він» усюди для простоти та тому, що ймовірно, що це точно). Генеральний директор Binance Чанпен Чжао пообіцяв, що його обмін так і буде «заморозити» будь-які зламані кошти надіслав на його платформу, тоді як Tether фактично зробив крок, щоб заморозити його на суму близько 33 мільйонів доларів USDT стейблкойн, взятий під час злому.

Можливо, були й інші чинники, але ймовірно, що їх було достатньо, щоб спровокувати те, що сталося далі: хакер повернув гроші. До четверга, 12 серпня, хакер розмістив майже всі зламані кошти (за вирахуванням заморожених мереж) у гаманець з кількома підписами поділився з командою POLY .

Іншими словами, це прославлена ​​собака, яка зловила машину. Здійснивши найбільше Крипто пограбування всіх часів, хакер T знав, що робити зі своєю здобиччю.

Поворот обличчям

Тепер, за допомогою самої POLY Network, хакер намагається зробити те, що в професійній боротьбі відоме як «поворот обличчям»: раптовий перехід від лиходія до героя.

Вранці 16 серпня хакер опублікував повідомлення через a перевірена адреса Ethereum включаючи наступне:

"ГРОШІ ДЛЯ МЕНЕ МАЛО ЗНАЧАТЬ, ДЕЯКИМ ЛЮДЯМ ПЛАТЯТЬ ЗА ЗЛАМ, Я КРАЩЕ Б ЗАПЛАТИВ ЗА РОЗВАГУ. Я РОЗГЛЯДАЮ ВЗЯТИ НАГОРОДУ ЯК НАГОРОДУ [sic] ДЛЯ ПУБЛІЧНИХ ХАКЕРІВ, ЯКЩО ВОНИ ЗМОЖУТЬ ЗЛАМАТИ МЕРЕЖУ POLY ... ЯКЩО POLY T ДАЄ УЯВЛЕНОЇ НАГОРОДИ, ЯК ВСІ ОЧІКУЮТЬ, Я МАЮ ДОСТАТНИЙ БЮДЖЕТ, ЩОБ ДОЗВОЛИТИ ШОУ ПРОДОВЖУВАТИСЯ».

«Я ДОВІРЯЮ ДЕЩОМУ ЇХНЬОМУ КОДУ, ХВАЛИВ Б ЗАГАЛЬНИЙ ДИЗАЙН ПРОЕКТУ, АЛЕ Я НІКОЛИ НЕ ДОВІРЯЮ ВСІЙ КОМАНДІ POLY ».

Іншими словами (щоб уточнити примітку, яка, очевидно, була машинним перекладом), найбільший Крипто усіх часів каже, що зробив це для lulz. Але також, спираючись на заяви зроблено 11 серп, він стверджує, що є доброзичливим хакером, який просто хоче підкреслити недолік дизайну, а не справді вкрасти гроші. Він стверджує, що «завжди планував» повернути кошти, а тепер він навіть готовий використати власні гроші, щоб виплатити подальші «щедроти» хакерам, які допомагають знаходити та виправляти експлойти в POLY. Він справжній добрий самарянин!

Мережа POLY надзвичайно допомогла цьому змінити обличчя, давши хакеру дуже підлесливе прізвисько під час спроби повернення вкрадених коштів: Містер Білий Капелюх.

«Білий капелюх», звичайно, є посиланням на хакера «білого капелюха». Білий хакер, в принципі, тестує вразливості програмного забезпечення лише для того, щоб допомогти їх виправити, а не використовувати їх для отримання прибутку. «Чорний капелюх», навпаки, хакерствує з метою прибутку чи злого наміру.

Мотиви POLY Network завчасно назвати хакера «білим капелюхом» досить зрозумілі: це дає хакеру шлях до повернення коштів і, можливо, врятує свою репутацію. Для POLY єдиним пріоритетом є повернення коштів, і ця стратегія чудова: зрештою, ви ловите більше мух медом, ніж оцтом.

Але, окрім дружнього псевдоніму Полі та його власних заяв, є дуже мало чітких доказів того, що початкові наміри хакера були добрими. Серед інших суперечливих доказів незрозуміло, чому він перемістив 600 мільйонів доларів, коли експлойт можна було продемонструвати за допомогою набагато меншого злому.

Hubba Hubba Hubba, кому ти довіряєш?

Ситуація підкреслює напругу, яка зростає разом із екосистемою Криптовалюта . «Ненадійність» є CORE принципом Крипто, як з технологічної, так і з філософської точки зору. Загалом, це твердження про те, що можна довіряти стабільним і безпечним системам блокчейнів, а не людям, які можуть помилятися та егоїстам.

Але зі зростанням складності, конкуренції та ставок зросла потреба в довірі до людей, які стоять за Крипто . Як і наслідки неправильної довіри. Це найбільш очевидно стосується користувачів мережі POLY , які довірили їй свої кошти: різноманітні викрадені токени були довірені протоколу, який діє як зберігач у рамках своєї крос-ланцюжкової функціональності.

Але хакерство підтверджує той факт, що вони насправді T довіряли системі – вони довіряли дизайнерам і кодувальникам мережі. Ця довіра була похитнута через очевидні недоліки в їх коді. Загалом, POLY не єдиний у цьому: як уже згадувалося, зломи та експлойти стали частими, особливо в системах децентралізованого Фінанси (DeFi), чия складність робить їх за своєю суттю більш вразливими, ніж простіші системи, такі як Bitcoin.

Читайте також: Пограбування POLY на 600 мільйонів доларів показує, що DeFi потребує хакерів, щоб стати неможливим для злому | Ден Кун

Як стверджував Даніель Кун з CoinDesk, ці хаки можна розглядати як частину процесу створення цих системи більш безпечні. Хакер, чи був це його початковий намір, чи ні, зробив POLY сильнішим.

Тим не менш, ці хаки підкреслюють незручну правду: у DeFi репутація людей, які будують системи питання. І хак POLY конкретно показує ONE причину, чому це проблема. POLY — це проект, частково підтриманий командою NEO, блокчейну, заснованого в Китаї в 2014 році. Щоб людина в США чи Європі довіряла їм, потрібно подолати мовні, географічні та політичні бар’єри, які Крипто повинна була усунути.

Натомість розрив сприяв деяким відвертим конспірологічним думкам про мотиви Полі. Сьогодні вранці POLY оголосила, що запропонує містеру Білому Капелюху свою роль Головний радник з безпеки. Швидше за все, це частина стратегії мережі, спрямованої на те, щоб залишатися на волі хакера. Але це також викликало припущення, що сам злом був внутрішньою роботою маркетинговий трюк.

Ще один важливий аспект недовіри до Крипто остаточність. У офіційному документі Сатоші Накамото за 2008 рік, який описує Bitcoin, він пише, що «повністю незворотні» транзакції є особливістю, а не помилкою системи: «З можливістю скасування потреба в довірі поширюється». Зрештою, це тому, що оборотність вимагає арбітра – страшної «третьої сторони», яка має право вирішувати, хто правий, а потім зупиняти або повертати транзакції. Але усунення сторонніх посередників — це суть Криптовалюта, особливість, яка робить її унікальною серед інструментів цифрових платежів (і, принаймні в наш час, серед валют у цілому).

Звичайно, я маю на увазі Tether. Стайблкойн є основною основою всієї екосистеми Криптовалюта з ринковою капіталізацією в 63 мільярди доларів і ключовою роллю в полегшення торгівлі. Більшість користувачів, ймовірно, вважають Tether «Криптовалюта», приблизно схожою на Bitcoin, але його реакція на злом це брехня.

Заморозивши 33 мільйони доларів, залучених до злому, компанія, що стоїть за Tether, продемонструвала, що вона є «надійним посередником». Так само, як банк (яким він фактично є, у багатьох сенсах), Tether продемонстрував, що він може заморозити будь-які кошти, що переміщуються в мережі, у будь-який час. Використовуючи його, ви покладаєтеся на те, що центральні адміністратори Tether не зависнуть ваш коштів. (Щоб було зрозуміло, те саме стосується конкурента Tether USDC, хоча Circle, компанія, що стоїть за USDC, вирішила не втручатися в поточну справу.)

І тому, як би похмуро це не було, неможливо сперечатися, що Крипто зараз все частіше викликають ті самі позачасові філософські труднощі, з якими ми стикаємося, коли маємо справу з традиційною фінансовою системою:

Hubba hubba hubba, кому ти довіряєш?