Северокорейские взломщики вывели с биржи 1,5 миллиарда USD в ЕТН. Следующей жертвой стал японский проект DMM Bitcoin. В мае с кошельков платформы исчезли 580 миллионов USD. Всего за год совокупная казна криптокомпаний лишилась 8,3 миллиарда USD, 5,84 миллиарда из которых были присвоены именно мошенниками.
Эксперты Chainalysis подсчитали, что в 2024 году по нелегальным адресам был направлен 51 миллиард USD. И только два миллиарда из них украдены напрямую. Львиная доля (40 миллиардов) приходится на деньги, проведенные по схемам отмывания средств. Из-за криптомошенничества американские инвесторы понесли ущерб в 9,3 миллиарда USD. Махинаторы действовали через инвестиционный развод, поддельные криптоматы и даже шантаж. Пострадали не только рядовые вкладчики, но и сотрудники компаний.
2021 год. Грабитель-философ вскрывает Poly Network
Представьте себя на месте грабителя, который только что вынес из банковского хранилища чемоданы, полные наличности. Но вместо того, чтобы, как требует логика ситуации, скрыться в подземных тоннелях, вы берете телефон и набираете номер управляющего. Причем вы не засыпаете его угрозами и не требуете выкупа, а извиняетесь и обещаете все вернуть, а под занавес беседы даете рекомендации по укреплению охранных систем.
В привычном финансовом пространстве это выглядело бы сценой пьесы из театра абсурда. Но криптовалютный мир функционирует по собственным законам.
10.08.2021 неизвестному хакеру удалось похитить 610 миллионов USD из протокола Poly Network. В истории DeFi это был крупнейший взлом на тот момент. Однако взломщик не растворился в сумраке Даркнета, а вышел на свет, чтобы завести с жертвами философский диспут.
Мост между блокчейнами обрушился
Протокол Poly Network – это не простой сервис. Он представлял собой ключевую артерию для децентрализованных финансов. По нему сообщались между собой самые разнообразные блокчейны, включая Binance Smart Chain, Ethereum и Polygon. Он выполнял миссию акведука, позволяющего пользователям свободно переливать цифромонетные потоки из одной экосистемы в другую, став своеобразной транспортной магистралью для децентрализованных капиталов.
Но настал день, который все перевернул с ног на голову. Криптовалютный медвежатник отыскал уязвимость в смарт-контрактах. Он сумел перенаправить денежные потоки в собственные кошельки. Его счета пополнись сотнями миллионов USD. Рынок виртуальных активов был не просто потрясен. Убытки, которые понесла DeFi-отрасль, превысили общую сумму, похищенную киберпреступниками за предыдущие полгода.
Никто бы не удивился, если бы после такого индустрию постиг новый крах доверия. Мысленно тысячи пользователей уже распрощались со своими инвестициями. Однако криптовалютную общественность ждало нечто экстраординарное.
Команда проекта очутилась в безвыходной ситуации. Если бы все это происходило в мире традиционных финансов, следующие действия руководства компании были бы очевидными. Администрация попыталась бы заморозить активы, обратилась бы в полицию и стала бы ждать, чем закончится расследование. Но блокчейн – это другое дело. Средства, осевшие в карманах криптоворов, невозможно вернуть ни по решению судьи, ни каким-либо иным законным способом.
Тогда разработчики решились на отчаянный шаг. Было написано открытое письмо хакеру. Это был не официальный документ, наподобие пресс-релиза, а сообщение в Твиттере. Команда начала свое обращение следующими словами: «Дорогой Хакер, пожалуйста, верни наши деньги!» Никакого намека даже на попытку воздействовать на взломщика угрозами юридического характера – только человеческая мольба. Такой формат в среде финансистов, где царит атмосфера холодной формалистики, выглядел бы наивным. Но именно благодаря ему ход событий двинулся по невероятному сценарию.
Что ответил мистер Белая Шляпа – Mr. White Hat?
Каково же было их удивление, когда хакер откликнулся. Он не прятался и не обрывал контакт, а включился в беседу. Мало того, вор дал согласие на постепенный возврат украденных миллионов.
С отсылкой к этичным хакерам с этого момента данного персонажа окрестили мистером Белая Шляпа. Этичные взломщики вскрывают уязвимые места в системах не ради наживы, а во имя общественного блага. Крупнейший взломщик в истории криптоиндустрии неожиданно оказался партнером по переписке. Это было что-то немыслимое.
Коллектив Poly Network пошел еще дальше. Для укрепления тонкой ниточки завязавшегося разговора команда предложила ему официальное вознаграждение в размере 500 000 USD за то, что он сумел нащупать слабую точку в системе защиты, и пост советника безопасности. На глазах у всего сообщества разыгрывался уникальный для криптомира открытый спектакль, который начался с настоящей катастрофы.
Хакер, философ, альтруист
Самое поразительное заключалось не в том, что взломщик собирался вернуть деньги, а в том, какими мотивами он руководствовался, совершая свое преступление. Он писал прямо в блокчейне. Свои действия он объяснял, оставляя цифровые послания в виде транзакций, сопровождаемых комментариями. Оправдывая себя, мистер Белая Шляпа сообщал, что его поступок – это эксперимент, что его целью была проверка системы на прочность.
Взломщик утверждал, что и в мыслях не держал идею личного обогащения. В этой истории он отводил себе роль экзаменатора, подсветившего слабости еще до того, как ими смогли воспользоваться по-настоящему злонамеренные личности. Он писал: «Ради веселья и чтобы показать уязвимость». Хакер подчеркивал, что возвращает похищенные деньги добровольно, а от финальной подписи веяло слабо скрываемой иронией: «Ваш Главный консультант по безопасности».
Эмоциональные качели: пользователи пронеслись от паники до облегчения
Эти несколько суток обернулись для тысяч пользователей Poly Network потерей огромного количества нервных клеток. Утро 10 августа встретило их новостью о краже шести с лишним сотен миллионов долларов. Для многих из них это были не просто цифры, а личные заблокированные сбережения.
Работа мостов была приостановлена немедленно. Между блокчейнами буквально зависли многочисленные переводы. У людей не было возможности вывести средства или пользоваться ими. Воцарилась поистине абсолютная паника.
Но прошло два дня и все кардинально поменялось. Начались возвраты украденных денег. Поначалу реверсия шла небольшими частями, но потом хакер активизировался. Вскоре осталось только 33 миллиона в USDT, которые были замороженные эмитентом. Пользователи постепенно стали получать свои активы. Паническая атмосфера сменилась облегчением и даже благодарностью. Люди пережили своего рода эмоциональный контрастный душ, где струи отчаянной безысходности уступили место праздничному облегчению.
Конец этой истории был парадоксален. Дирекции Poly Network удалось не только выжить, но и пропиариться, превратив катастрофу в победу. Вор, вместо того, чтобы стать врагом, вдруг сделался спасителем. Потеря, вместо того, чтобы стать надгробной плитой на могиле проекта, вдруг обернулась практически полным возвратом. Уголовное дело, которому вряд ли суждено было дойти до приговора, вдруг принесло компании бесплатный аудит уязвимостей. В итоге все закончилось глобальной рекламой.
Была проведена работа над ошибками и усилена безопасность. Компания привлекла сторонних аудиторов. За проектом неожиданно закрепилась репутация команды, умеющей вести переговоры и договариваться даже отпетыми мошенниками.
Какие уроки вынесли создатели Poly Network?
Этот кризис вошел в историю децентрализованных финансов не трагедией, а парадоксальным представлением. Ограбление привело к диалогу, а общение стало уроком для всей криптоиндустрии.
В мире цифровой монетизации миссия закона возложена на код шифрования. Но неожиданно выяснилось, что человеческие качества в нем тоже имеют значение. Здесь находится место честности, благородству, способности и открытости к общению, и они порой оказываются более важными, нежели инновации и высокие технологии.
Команда Poly Network показала, что иногда достаточно одного вежливого слова, чтобы вернуть многие миллионы долларов. А мистер Белая Шляпа доказал, что собственный рыцарский кодекс может существовать в цифровой анархии.