「我试图决定将2000万美元保留在自己手中是否是一个好主意……因为这是Euler向我提供的。我确实没有准备好,缺乏经验,而且是新人……我好几天、好几个星期都没有睡觉,但最终,我知道我必须归还,我知道我不希望对Euler的用户群造成任何损害。」
2023年3月13日,在短短18分钟内,一名黑客从一个流行的借贷平台——EulerFinance盗取了价值近2亿美元的加密货币,这是今年最大的盗窃案。仅仅三周后,他就撤销了交易,归还了他偷来的所有东西。
自黑客事件发生以来,该行动的负责人首次站出来解释他对事件的看法,并声称他根本没有打算保留这笔钱。
Coinage与自称黑客的男子进行了交谈,他是一名年轻的阿根廷人,名叫费德里科·海梅(FedericoJaime),这一说法得到了其他重要证据的支持。这是他的故事。
在罗马一个凉爽的三月夜晚,凌晨3点左右,Federico站在一家酒吧外,等待朋友,并与上帝交谈。这位19岁的阿根廷人在过去的一个月里一直在寻找一些东西,但他还没有找到。他想知道为什么。
「天哪,如果我所有的项目都在一个月内完成,为什么这次不呢?」他抬头看着天空,心中想着。「为什么以前听过我的话,现在却听不到了?」他还要几个小时才能回到旅馆。
当他终于回到家时,他却睡不着,就像往常一样。于是,他决定去工作。
Federico的祈祷几乎立刻就得到了回应,也许是预言般的。他发现了他一直在寻找的东西:加密货币借贷程序代码中的漏洞。他立即着手利用他的发现。
「当我工作时,我像艺术家、作家一样工作,」Federico后来在电话中用他的第二语言英语告诉我。「为了唤醒缪斯,缺乏睡眠是件好事。」
接下来的两天Federico都睡不着觉。当他终于在意大利医院的病床上醒来时,他的身家增加了2亿美元,但他感觉自己的背上烙下了一个诅咒。
加密货币世界依赖于透明度。每笔交易——向朋友汇款、购买NFT、贷款——都是公开的,并且交易是不可逆转的。在区块链上运行的应用程序同样是公开的;任何人都可以自己检查代码。
随着过去几年人们对加密货币的兴趣激增,整个去中心化金融应用行业也随之兴起,允许加密货币投资者交换代币、获得贷款、对价格变动进行杠杆押注并赚取利息。目前约有450亿美元的加密货币被承诺用于DeFi协议;而2021年秋季,这一数字超过1750亿美元,大约相当于摩根士丹利持有的全部存款金额。
DeFi为加密货币爱好者提供了令人兴奋的金融创新,与加密货币领域的快速发展和宽松的监管相适应。如果你想在没有抵押品的情况下借到2亿美元,或者对DOGE和PEPE等「meme」加密货币进行投机,那么DeFi是唯一的选择。
与此同时,黑客将DeFi视为各种数字银行金库,每个金库都有一个公共蓝图,实际上是在邀请某人尝试抢劫。根据加密货币研究公司Chainaanalysis的数据,DeFi协议已成为加密货币黑客的主要目标,他们在2021年从DeFi窃取了22亿美元,2022年窃取了31亿美元,占当年被盗加密货币总额的80%以上。
迄今为止,最成功的加密货币黑客是拉撒路集团,在2022年Lazarus窃取的17亿美元中,有11亿美元来自DeFi漏洞。
面对无休止的攻击,DeFi协议的应对措施是招募安全公司审核智能合约、监控威胁,甚至引诱白帽黑客。为自己窃取漏洞。即使经过严格审核并采取一切预防措施的DeFi协议仍然可能成为强大黑客攻击的受害者,而这个攻击者有时只是一个19岁的孩子,上帝站在他这一边。
这一切都可以通过一行代码来阻止。
回到酒店,当太阳在罗马上空升起时,Federico开始研究由伦敦初创公司EulerLabs开发的名为EulerFinance的DeFi借贷协议。Euler允许其用户提取高达其存入抵押品价值十倍的贷款;投入10,000美元,您就可以像100,000美元一样进行交易。但加密货币具有波动性,如果价格走势错误,用户的存款可能不足以确保赎回其抵押品。这就是为什么每次用户与Euler交互时,平台都会检查其帐户的运行状况,如果运行状况分数过低,则会触发自动清算。
但Federico看到了一些不存在的东西:单个Euler智能合约中的单个函数缺少健康检查。在短短几个小时的研究中,Federico发现了Euler团队以及几位独立智能合约审计师所遗漏的地方。
「这只不过是神圣的灵感。这只不过是唤醒了我的缪斯。」Federico说。「确切地说,在寻找我要找的东西一个月后……我找到了。」
Federico开始策划他的进攻。3月13日,经过两天不眠不休的编程之后,他几乎准备好执行了。唯一的问题是:他不知道如何部署智能合约,也不知道它会花费多少钱。
「我在谷歌上搜索,『部署智能合约的成本是多少?』我发现……有文章说『从5,000美元到50,000美元不等』。」Federico说道,他提高了声音回应他所感到的难以置信。「WTF」
但Federico继续前进,最终了解到实际的合约部署成本要低得多。此时,距离他上次睡觉几天后,Federico告诉我他根本没有考虑钱的事。「我认为这是一个实验。只是一个实验,」他解释道。「我不确定它是否会起作用......我不确定我是否可以部署智能合约。我的疑虑多于确定性。」
「所以我真的低估了这个漏洞和我自己,因为它最终起作用了。」他补充道。
2023年3月13日上午,意大利时间上午9点54分,Federico坐在电脑前。在18分钟的时间里,他用来发起对EulerFinance攻击的三个钱包从该协议中窃取了价值1.97亿美元的加密货币。这些资金最终全部存入一个钱包——一个装满成堆百元大钞的虚拟行李袋。
「首先,我想,这太令人兴奋了。我破解了一个巨大的协议,然后我想,哇,2亿美元。这是我背上的诅咒。」
Federico仍然无法入睡,他让酒店礼宾部叫了一辆救护车。
第一个发现异常的人是机器人,一些加密安全公司为DeFi项目提供实时威胁监控和警报。在Euler黑客事件中,至少两家安全公司Forta和Hypernative在攻击开始前就收到了警报。
不幸的是,对于拒绝对本文发表评论的EulerLabs来说,自动警报仅在攻击开始前几分钟发出,对于这家总部位于伦敦的初创公司来说,保护协议安全还为时过早。
英国时间3月11日星期一上午8:59,区块链安全公司PeckShield在社交媒体上发文「嗨@eulerfinance:你可能想看一下」,并链接到一个页面,显示钱包已攻击了Euler的DAI稳定币供应,窃取了超过870万美元的资金。
然后,大家就眼睁睁看着Euler一次次受到打击。黑客偷走了1850万美元的WBTC,然后偷走了1.16亿美元的stETH...最终,黑客获利1.97亿美元,而Euler的全部6个代币储备均化为乌有。
上午9点56分,Euler在社交媒体上引用了PeckShield的消息表示:「我们知道,我们的团队目前正在与安全专业人员和执法部门合作。我们将在获得进一步信息后立即发布。」
因为这是加密货币,所以每个人都可以看到黑客钱包中的资金。通过查看该钱包的交易,安全专家能够对攻击进行逆向工程,最终发现导致盗窃的单一漏洞。但同样由于这是加密货币,Euler的团队无法将该钱包与现实生活中的身份进行关联,也无法了解黑客的意图。
3月13日,黑客的最后行动是通过TornadoCash发送100ETH,TornadoCash是以太坊上的一种「混合」交易协议,使资金更难追踪。然后,该钱包地址就此沉默。
当晚10点47分,Euler团队向黑客钱包发送消息称:「我们了解到,您对今天早上对Euler平台的攻击负责。我们写信是想了解您是否愿意与我们讨论任何可能的后续步骤。」本次尝试性的沟通标志着Euler团队即将开启艰难的三周时光。
第二天晚上9点22分,Euler团队又向黑客的钱包发送了一条消息,提议在24小时内归还90%被盗资金——让黑客保留事实上的2000万美元的漏洞赏金。否则,Euler将向任何提供导致黑客被捕的信息的人悬赏100万美元。
黑客没有回应。
3月15日上午11点20分,Euler团队再次向黑客钱包发送了另一条消息,重申了之前的漏洞赏金提议。Euler团队写道:「然后调查可以停止,重点可以转向将其分发回协议用户,而无需走法律途径。」
当晚10点06分,在黑客持续沉默后,Euler团队宣布悬赏100万美元,奖励那些导致黑客被捕并追回资金的信息。第二天,Euler联合创始人兼首席执行官MichaelBentley博士分享了他对此次攻击的回应,称前几天是他一生中最艰难的几天,并表达了他对受影响用户的悲痛。
「我不得不牺牲与刚出生的儿子相处的时间,」Bentley在推特上写道。「我永远不会原谅攻击者,但他们可以纠正错误并尽快将资金返还给EulerDAOTreasury。」
FedericoJaime声称他从未打算保留这笔钱。「我从一开始就知道2亿美元不是一个小数字,这会对DeFi社区造成巨大损害,而这根本不是我的目标。」
我们都想知道,即使只是一瞬间,Federico是否曾想过2亿美元可以买什么,想象过自己住在一座豪宅里吗?在游艇上?
「从没有过,一点也不,因为我是一名企业家。我可以合法地、完美地赚钱,我不需要偷,我没有理由拿别人的钱。」
对于大多数人来说,这样的评论最多只会引起白眼。毕竟加密社区并不以其谦逊而闻名。但我见过Federico环游欧洲、入住五星级酒店、穿着设计师街头服饰的照片。在我们通过电话和偶尔短信进行的谈话中,我问今年6月就满20岁的Federico,他是如何维持自己的生活方式的。
Federico与父母和妹妹在布宜诺斯艾利斯长大。受到软件工程师父亲的启发,他在12岁时学会了编程,并在14岁时以10,000美元的价格出售了他的第一个程序——视频游戏《我的世界》的插件。「这意味着自由,因为我不再需要向父母要钱,他们为我鼓掌。」
当他长大后,Federico转向了一款新游戏《GTAV》,他为该游戏的铁杆粉丝运行的自定义多人游戏服务器开发了一个反作弊系统。「我发现了一个内存读取错误。我看到我们可以从中获利。」Federico说道,并补充说该软件FiveGuard现在已归其他人所有。「这很特别,因为当你以某种不公平的优势进入游戏服务器时,你会立即被禁止。」
Federico原本计划去阿根廷上法学院,但在2020年毕业并应对新冠疫情后,Federico在征得父母的同意后,他决定在上大学之前请个长假。
去年十月初,Federico曾前往罗马。去年12月,据称他当时瞄准了在阿根廷、墨西哥和秘鲁运营的加密货币交易平台Buenbit,并窃取了数十万美元。Buenbit的首席执行官FedericoOgue将这次攻击定性为欺诈。新闻报道援引消息人士的话说,此次袭击的损失为80万美元,但Federico否认了这一数字。
Federico不愿就案件的细节发表评论,虽然他承认他的目标是Buenbit,但同样声称媒体报道中的许多更精彩的细节要么具有误导性,要么完全是捏造的。这位20岁的男子坚称自己在此案中无罪,并指出他和他的律师正在与Buenbit的团队联系,他希望此事尽快得到解决。
而且,仅仅几个月后,Federico就有了新的担忧,这次是2个亿。
攻击发生时,EulerFinance拥有多达7000名用户。两天后的3月15日,其中一名受害者决定向黑客的钱包发送一条消息。
「请考虑退回90%/80%。我是一个只有78wstETH,作为我一生积蓄存入Euler的用户,我不是鲸鱼或百万富翁。」DLNews确认该用户是一位名叫SantiagoAvalos的阿根廷区块链开发人员,他写道。「你无法想象我现在陷入的混乱,完全被摧毁了……你的决定会给让很多受影响的人如释重负。」
Avalos一生的积蓄78wstETH当时价值超过140,000美元。Avalos发送消息十三小时后,Federico做出了回应,但不是通过短信。相反,自三天前的黑客攻击以来,Federico首次采取行动,向Avalos发送了100ETH,比受害者在Euler崩溃中损失的价值多出约2.7万美元。而Avalos将多余的资金转回给了Euler,他说:「我相信他可能是被我的信息感动了。」
「这是我的真心之举,」Federico谈到他退回资金的动机时说道。「我当时很慷慨。另外,我后来发现这个人……也是阿根廷人,而且是Solidity开发人员,」他补充道。「这确实是一个非常有趣的巧合。」
Federico还没有完成资金转移。加上他已经两次通过TornadoCash累计向自己发送了1100个ETH,使他的收益达到近200万美元。当我问他为什么时,Federico告诉我:「我没有多想。我想,如果他们给我10%的赏金,对我来说就太多了。我会尽力拿走其中的1%。」
他的下一步行动是迄今为止最令人困惑的。3月17日,凌晨5点之前,Federico再次发送了100ETH,这次是发送到一个臭名昭著的钱包,这个钱包在一年前实施了历史上最大的加密货币黑客攻击之一——从RoninBridge窃取了超6亿美元资金。仅仅一个月后,美国财政部外国资产和控制办公室(OFAC)正式将RoninBridge漏洞与Lazarus集团联系起来。
然而当我问他这件事时,他的解释让我震惊。「我根本不知道这是朝鲜。我从来没有怀疑过,」他开始说道。「我向Ronin利用者发送100ETH的原因纯粹是钦佩......我想,从白帽黑客到黑帽黑客,我想表达我的钦佩。」
我惊呆了,Federico也看出来了。「我知道你没想到我会这么说,但这是事实,」他回答道。「我认为这是当今世界最重要的领域,Ronin黑客的攻击是一种工程行为。从这个意义上说,这是令人钦佩的……恶魔也可以是美丽的女人。」
第二天,Federico开始归还资金,一开始分三期,每期1000ETH,当时总计约540万美元。然后,他的钱包又陷入了休眠状态。分析师当时都对Euler能否收回剩余资金表示怀疑。
但两天后,即3月20日,Federico向Euler团队发送了他的第一条信息:「我们希望让所有受影响的人都能轻松应对。无意保留不属于我们的东西。设置安全通信。让我们达成协议吧。」
Federico承认这个消息有点晚了:「我试图决定将2000万美元保留在自己手中是否是一个好主意……因为这是Euler向我提供的,」他说。「我确实没有准备好,缺乏经验,而且是新人……我好几天、好几个星期都没有睡觉,但最终,我知道我必须归还,我知道我不希望对Euler的用户群造成任何损害。」
尽管如此,Federico还是花了不少时间归还资金。3月25日下午3点左右,首次出现81,953ETH。随后27日,1000万美元的DAI随之而来。28日凌晨3点,Federico公开道歉,说道:「我搞砸了。我不想,但我扰乱了别人的钱、别人的工作、别人的生活……请原谅我。」然而,一些资金当时仍在他的控制之下。
最终,4月3日,Euler团队兴奋地宣布,在黑客的最后几笔交易之后,所有「可收回资金」均已归还。Euler还正式撤销了对Federico人头的100万美元赏金。资金的回归标志着DeFi历史上最成功的复苏之一,Federico松了口气,一切都结束了。
然后,两个半月后,Federico的钱包再次活跃起来,向自己发送消息。第一个是在6月17日,只有两个词:「Benyre」——布宜诺斯艾利斯。十七分钟后,钱包又发来一条消息,同样是西班牙语,自称是阿根廷人、庇隆主义者、白帽黑客。该消息对其他黑客的建议是:「不要犯傻,不要偷窃,赚赏金。」
在消息的最后,钱包链接到了一个Instagram帐户——@federicojaimeok。我给他发了一条私信。我们开始在Instagram上交谈,Instagram上存档了自2022年9月以来Federico的故事,然后我们通过Telegram进行了交谈。在我们的谈话过程中,这个人告诉我的一切都与我从其他来源了解到的关于Federico的信息相匹配。Federico还向我提供了他父亲的电话号码,后者证实了他自己的身份以及与Federico的关系,并向我提供了与Federico告诉我的信息相符的其他信息。
Federico告诉我,他决定露面不是为了自己的利益,而是为了DeFi社区的利益。「我想鼓励道德黑客行为,这是主要原因,我希望能够发出声音,告诉人们做正确的事。」
Federico还希望Euler与攻击者谈判的策略将为DeFi的其他部分树立一个效仿的先例。他说:「我确信去中心化金融领域的黑客场景在Euler黑客事件之后的情况会有所不同。我认为这向世界展示了审计的重要性,以及黑客攻击后谈判的重要性。」
Chainalysis调查副总裁艾琳·普兰特(ErinPlante)表示:「不过,并不是加密货币领域的每个人都热衷于漏洞赏金和黑客谈判成为常态。大多数DeFi黑客并不是从合法的漏洞赏金中获得10万或50万美元的报酬,而是经常索取被盗资金总额的50%或更多作为佣金,这更像是敲诈勒索。」
Plante还指出,随着执法机构在追踪非法加密货币方面做得越来越好,黑客更难兑现他们的奖金。她说:「在这种情况下,再加上整个行业的赏金集体下降,黑客从事这项工作的激励措施有望得到改变。」
Federico一再向我坚称,他的计划从一开始就是归还资金。那么为什么他花了三个星期呢?
「我想有时间保护自己,以合法的方式和其他方式找到安全的方法。」他说。
当然,Federico的一些说法无法得到证实。Federico告诉我,该协议的设计和执行完全是他的工作,尽管他偶尔会从一位同事那里得到建议,比如需要研究的DeFi协议列表
我们也永远不会知道如果Federico更好地计划这次袭击,他是否会保留这笔钱。他向我承认,他很遗憾没有考虑到后果,但他说,只是为了做正确的事情。「我只是计划不够,而且金额太大,我无法处理。」他说。
Federico告诉我,他对自己给Euler团队带来的痛苦感到遗憾。「当我看到MichaelBentley的推文说他必须牺牲与家人在一起的时间时,我的心都碎了。」他说。当我问他是否担心这次袭击对未来造成影响时,他否认了这一担忧。「我相信,从法律上讲,Euler团队不会事后追溯我,因为这将阻止未来的黑客返还资金。」
EulerFinance从4月12日开始开始向攻击受害者进行赔偿,这让受害者感到高兴。该漏洞的影响已蔓延到其他11个DeFi协议。其中一项直到6月27日才恢复。自黑客攻击以来,EulerFinance一直处于瘫痪状态。
Federico仍在欧洲,他形容自己的个人情况「很复杂」,但表示他希望很快回到布宜诺斯艾利斯继续学业。「自从Euler黑客事件以来,我的生活就没那么轻松了,这给我留下了压力。」
我问Federico,他是否认为上帝似乎回应了他的祈祷,正在给他一个教训。「我认为他要么是在跟我玩游戏,要么是在我。」他回答道。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。