原文标题:《ELE ROUBOU $ 200 MILHÕES. ELE DEVOLVEU. AGORA, ELE ESTÁ PRONTO PARA EXPLICAR O PORQUÊ》
Autor Original: Zack Abrams, Coinage
Compilação: BlockBeats
Em 13 de março de 2023, em apenas 18 minutos, um hacker roubou quase US$ 200 milhões em criptomoedas da Euler Finance, uma popular plataforma de empréstimos, no maior roubo do ano. Depois de apenas três semanas, ele reverteu o acordo e devolveu tudo o que havia roubado.
Pela primeira vez desde o hack, o chefe da operação se apresentou para explicar sua opinião sobre os acontecimentos e afirmar que não tinha intenção de ficar com o dinheiro.
Coinage falou com o homem que alegou ser o hacker, um jovem argentino chamado Federico Jaime, uma afirmação apoiada por outras evidências significativas. Esta é a história dele.
Crédito da imagem: Instagram @federicojaimeok
Eram cerca de 3 da manhã de uma noite fria de março em Roma, e Federico estava do lado de fora de um bar, esperando por amigos e conversando com Deus. O argentino de 19 anos está procurando algo há um mês e ainda não encontrou. Ele se perguntou por quê.
"Nossa, se todos os meus projetos ficam prontos em um mês, por que não desta vez?", pensou, olhando para o céu. “Por que não consigo ouvir agora, quando ouvi antes?” Ele ainda estava a horas de voltar ao hotel.
Quando finalmente chegou em casa, não conseguia dormir, como sempre. Então, ele decidiu ir trabalhar.
As orações de Federico foram respondidas quase imediatamente, talvez profeticamente. Ele encontrou o que procurava: um bug no código de um programa de empréstimo de criptomoedas. Ele imediatamente começou a explorar sua descoberta.
“Quando trabalho, trabalho como um artista, como um escritor”, Federico me disse mais tarde por telefone em inglês, sua segunda língua. "A falta de sono é uma boa coisa para despertar a Musa."
Federico não conseguiu dormir nos dois dias seguintes. Quando ele finalmente acorda em uma cama de hospital na Itália, ele vale $ 200 milhões a mais, mas sente uma maldição marcada em suas costas.
Crédito da imagem: Instagram @federicojaimeok
O mundo das criptomoedas depende da transparência. Toda transação – enviar dinheiro para um amigo, comprar um NFT, pegar um empréstimo – é pública e irreversível. Os aplicativos em execução no blockchain (chamados contratos inteligentes) também são públicos; qualquer pessoa pode inspecionar o código por conta própria.
Como o interesse em criptomoedas explodiu nos últimos anos, o mesmo aconteceu com toda uma indústria de aplicativos financeiros descentralizados, permitindo que os investidores em criptomoedas troquem tokens, obtenham empréstimos, façam apostas alavancadas em movimentos de preços e ganhem juros. Cerca de US$ 45 bilhões em criptomoedas estão atualmente comprometidos com os protocolos DeFi; no outono de 2021, esse número ultrapassará US$ 175 bilhões, aproximadamente o equivalente a todo o valor dos depósitos mantidos pelo Morgan Stanley.
DeFi fornece inovações financeiras empolgantes para entusiastas de criptomoedas, de acordo com o rápido desenvolvimento e a regulamentação frouxa do campo de criptomoedas. Se você quiser emprestar $ 200 milhões sem garantia, ou especular sobre criptomoedas “meme” como DOGE e PEPE, então DeFi é o único caminho a percorrer.
Ao mesmo tempo, os hackers veem o DeFi como vários cofres de bancos digitais, cada um com um projeto público (código aberto), efetivamente convidando alguém a tentar roubar. Os protocolos DeFi se tornaram o alvo principal dos hackers de criptomoedas, que roubaram US$ 2,2 bilhões da DeFi em 2021 e US$ 3,1 bilhões em 2022, respondendo por 80% de todas as criptomoedas roubadas naquele ano, de acordo com a empresa de pesquisa de criptomoedas Chainaanalysis acima.
O hack de criptomoeda mais bem-sucedido até hoje é o Lazarus Group, com US$ 1,1 bilhão dos US$ 1,7 bilhão roubados da Lazarus em 2022 provenientes de exploits DeFi.
Diante de ataques intermináveis, os protocolos DeFi respondem recrutando empresas de segurança para auditar contratos inteligentes, monitorar ameaças e até atrair hackers de chapéu branco (ou seja, hackers que sinalizam vulnerabilidades em troca de recompensas, em vez de hackers de chapéu preto que os exploram) . Roube explorações para si mesmo. Mesmo um protocolo DeFi altamente controlado que toma todas as precauções ainda pode ser vítima de um hack poderoso às vezes por apenas um jovem de 19 anos com Deus ao seu lado.
Crédito da imagem: Instagram @federicojaimeok
Tudo isso pode ser evitado com uma única linha de código.
De volta ao hotel, quando o sol nasceu sobre Roma, Federico começou a trabalhar em um protocolo de empréstimo DeFi chamado Euler Finance, desenvolvido pela startup londrina Euler Labs. Euler permite que seus usuários façam empréstimos até dez vezes o valor de sua garantia depositada; coloque $ 10.000 e você pode negociar como $ 100.000. Mas as criptomoedas são voláteis e, se os preços se moverem na direção errada, os depósitos dos usuários podem não ser suficientes para garantir o resgate de suas garantias. É por isso que toda vez que um usuário interage com o Euler, a plataforma verifica a saúde de sua conta e, se a pontuação de saúde ficar muito baixa, uma liquidação automática é acionada.
Mas Federico viu algo que não existia: a falta de verificações de saúde para uma única função em um único contrato inteligente de Euler. Em apenas algumas horas de pesquisa, Federico descobriu o que a equipe de Euler, bem como vários auditores independentes de contratos inteligentes, haviam perdido.
"É apenas inspiração divina. Está apenas despertando minha musa", disse Federico. "Exatamente, depois de um mês procurando o que eu procurava...encontrei."
Federico começa a planejar seu ataque. Em 13 de março, após dois dias de programação ininterrupta, ele estava quase pronto para executar. O único problema: ele não sabe como implantar o contrato inteligente, nem quanto vai custar.
“Eu estava pesquisando no Google, ‘quanto custa implantar um contrato inteligente? "WTF"
Mas Federico foi em frente e acabou descobrindo que os custos reais de implantação do contrato são muito mais baixos. A essa altura, alguns dias depois de dormir até tarde, Federico me disse que não estava pensando em dinheiro. "Acho que é um experimento. Apenas um experimento", explicou. "Não tenho certeza se vai funcionar... Não tenho certeza se posso implantar um contrato inteligente. Tenho mais dúvidas do que certeza."
"Então eu realmente subestimei o bug e a mim mesmo porque finalmente funcionou", acrescentou.
Na manhã de 13 de março de 2023, às 9h54, horário italiano, Federico está sentado em frente ao computador. Ao longo de 18 minutos, as três carteiras que ele usou para lançar o ataque à Euler Finance roubaram US$ 197 milhões em criptomoedas do protocolo. Os fundos acabaram todos em uma carteira - uma mochila virtual cheia de pilhas de notas de cem dólares.
"Primeiro, pensei, isso é tão emocionante. Fechei um grande negócio e depois pensei, uau, $ 200 milhões. Isso é uma maldição nas minhas costas."
Ainda sem conseguir dormir, Federico mandou o recepcionista do hotel chamar uma ambulância.
![O hacker Euler de 19 anos não conseguiu superar a hesitação de 200 milhões de dólares por três semanas] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Crédito da imagem: Instagram @federicojaimeok
Os primeiros a detectar anomalias são os bots, e algumas empresas de segurança criptográfica fornecem monitoramento e alertas de ameaças em tempo real para projetos DeFi. No caso do hack de Euler, pelo menos duas empresas de segurança, Forta e Hypernative, foram alertadas antes do início do ataque.
Infelizmente para o Euler Labs, que se recusou a comentar para este artigo, o alerta automático veio poucos minutos antes do início do ataque, tornando muito cedo para a startup com sede em Londres proteger o protocolo. ("Normalmente prevemos um ataque entre um minuto e uma hora", disse Alex Behrens, gerente de marketing da Forta.)
Às 8h59, horário do Reino Unido, na segunda-feira, 11 de março, a empresa de segurança blockchain PeckShield postou nas mídias sociais "Olá @eulerfinance: você pode querer dar uma olhada" e vincular a uma página mostrando que a carteira havia hackeado o fornecimento de DAI Stablecoin de Euler, com mais de $ 8,7 milhões em fundos roubados.
Então, todos assistiram Euler ser atingido várias vezes. O hacker roubou $ 18,5 milhões em WBTC, depois $ 116 milhões em stETH ... No final, o hacker obteve um lucro de $ 197 milhões e toda a reserva de 6 tokens de Euler foi eliminada.
Às 9h56, Euler citou PeckShield nas redes sociais dizendo: "Entendemos que nossa equipe está trabalhando atualmente com profissionais de segurança e policiais. Divulgaremos mais informações assim que as tivermos."
Como se trata de criptomoeda, todos podem ver os fundos na carteira do hacker. Ao analisar as transações da carteira, os especialistas em segurança conseguiram fazer a engenharia reversa do ataque, descobrindo a única vulnerabilidade que levou ao roubo. Mas também por se tratar de criptomoeda, a equipe de Euler não tinha como vincular a carteira a uma identidade real ou entender as intenções do hacker.
Em 13 de março, o ato final dos hackers foi enviar 100 ETH (no valor de $ 168.000 na época) via Tornado Cash, um protocolo de transação "híbrido" no Ethereum que torna os fundos mais difíceis de rastrear. Então, o endereço da carteira é silencioso.
Às 10h47 daquela noite, a equipe do Euler enviou uma mensagem para a carteira do hacker dizendo: "Entendemos que você é o responsável pelo ataque desta manhã à plataforma Euler. Estamos escrevendo para ver se você gostaria de discutir possíveis próximos passos conosco." Esta comunicação provisória marca o início de três semanas difíceis para a equipe de Euler.
No dia seguinte, às 21h22, a equipe de Euler enviou outra mensagem para a carteira do hacker oferecendo a devolução de 90% dos fundos roubados em 24 horas - deixando o hacker retendo a recompensa de fato de $ 20 milhões pelo bug. Caso contrário, Euler está oferecendo uma recompensa de $ 1 milhão para quem fornecer informações que levem à prisão do hacker.
O hacker não respondeu.
Em 15 de março, às 11h20, a equipe de Euler enviou mais uma mensagem para a carteira do hacker, reiterando a oferta de recompensa do bug anterior. “A investigação pode então ser interrompida e o foco pode mudar para distribuí-lo de volta aos usuários do protocolo sem seguir o caminho legal”, escreveu a equipe de Euler.
Às 22h06, depois que os hackers permaneceram em silêncio, a equipe de Euler anunciou uma recompensa de US$ 1 milhão por informações que levassem à prisão do hacker e à recuperação dos fundos. No dia seguinte, o cofundador e CEO da Euler, Dr. Michael Bentley, compartilhou sua resposta ao ataque, chamando os dias anteriores de os mais difíceis de sua vida e expressando sua dor pelos usuários afetados.
"Tive que sacrificar meu tempo com meu filho recém-nascido", tuitou Bentley. “Nunca perdoarei os invasores, mas eles podem corrigir seus erros e devolver os fundos ao Tesouro da EulerDAO o mais rápido possível.”
Crédito da imagem: Instagram @federicojaimeok
Federico Jaime afirma que nunca teve a intenção de ficar com o dinheiro. “Eu sabia desde o início que $ 200 milhões não era um número pequeno, causaria grandes danos à comunidade DeFi, e esse não era meu objetivo de forma alguma.”
Todos nós gostaríamos de saber, mesmo que por um momento, se Federico já se perguntou o que $ 200 milhões poderiam comprar, imaginou-se morando em uma mansão? Em um iate?
"Nunca, de jeito nenhum, porque sou um empresário. Posso ganhar dinheiro legalmente e sem falhas. Não preciso roubar. Não tenho motivos para pegar o dinheiro dos outros."
Para a maioria das pessoas, tal comentário não passaria de revirar os olhos. Afinal, a comunidade criptográfica não é conhecida por sua humildade. Mas já vi fotos de Federico viajando pela Europa, hospedando-se em hotéis cinco estrelas e vestindo roupas de grife. Em nossas conversas por telefone e mensagens de texto ocasionais, perguntei a Federico, que completa 20 anos em junho, como ele mantém seu estilo de vida.
Federico cresceu em Buenos Aires com seus pais e irmã mais nova. Inspirado por seu pai engenheiro de software, ele aprendeu a programar aos 12 anos e vendeu seu primeiro programa, um plugin para o videogame Minecraft, por $ 10.000 aos 14 anos. "Significa liberdade porque não preciso mais pedir dinheiro aos meus pais e eles me aplaudem."
Quando cresceu, Federico mudou-se para um novo jogo, GTA V, onde desenvolveu um sistema anti-fraude para um servidor multijogador personalizado administrado por fãs obstinados do jogo. "Encontrei um bug de leitura de memória. Vi que poderíamos lucrar com isso", disse Federico, acrescentando que o software, FiveGuard, agora pertence a outra pessoa. "É especial porque quando você entra em um servidor de jogo com algum tipo de vantagem injusta, você é banido imediatamente."
Federico originalmente planejava ir para a Argentina para estudar direito, mas depois de se formar em 2020 e lidar com a nova epidemia da coroa (há muitas restrições locais e um longo período de quarentena em Buenos Aires), Federico, após obter o consentimento de seus pais, ele decidiu tirar longas férias antes da faculdade.
No início de outubro do ano passado, Federico viajou para Roma. Em dezembro, ele supostamente atacou a Buenbit, uma exchange de criptomoedas que opera na Argentina, México e Peru, e roubou centenas de milhares de dólares. O CEO da Buenbit, Federico Ogue, caracterizou o ataque como fraudulento. Reportagens citando fontes policiais estimam o custo do ataque em US$ 800.000, valor negado por Federico.
Federico não quis comentar sobre os detalhes do caso e, embora reconhecesse que tinha como alvo Buenbit, também afirmou que muitos dos detalhes mais emocionantes dos relatos da mídia eram enganosos ou totalmente fabricados. O jovem de 20 anos mantém sua inocência no caso, lembrando que ele e seu advogado estão em contato com a equipe de Buenbit e que espera que o assunto seja resolvido o mais rápido possível.
E, poucos meses depois, Federico tem novas preocupações, desta vez de 200 milhões.
![O hacker Euler de 19 anos não conseguiu superar a hesitação de 200 milhões de dólares por três semanas] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Crédito da imagem: Instagram @federicojaimeok
No momento do ataque, a Euler Finance tinha até 7.000 usuários. Dois dias depois, em 15 de março, uma das vítimas decidiu enviar uma mensagem para a carteira do hacker (carteira de Federico).
"Por favor, considere devolver 90%/80%. Sou um usuário com apenas 78 wstETH e, como um usuário que economizou minhas economias em Euler, não sou uma baleia ou um milionário." DL News confirmou que o usuário é um Desenvolvedores argentinos chamados Santiago Avalos Blockchain, ele escreveu. "Você não pode imaginar o caos em que estou agora, totalmente devastado... Sua decisão será um alívio para muitos afetados."
As economias de vida de Avalos de 78 wstETH valiam mais de $ 140.000 na época. Treze horas depois que Avalos enviou a mensagem, Federico respondeu, mas não por mensagem de texto. Em vez disso, Federico fez sua primeira jogada desde o hack há três dias, enviando 100 ETH para Avalos, cerca de US$ 27.000 a mais do que a vítima perdeu no acidente de Euler. Avalos transferiu o excesso de fundos de volta para Euler, dizendo: "Acredito que ele pode ter se emocionado com minha mensagem."
“É um ato genuíno meu”, disse Federico sobre sua motivação para devolver os fundos. "Eu estava sendo generoso. Além disso, descobri mais tarde que esse cara... também era argentino e um desenvolvedor do Solidity", acrescentou. "É realmente uma coincidência muito interessante."
Federico ainda não concluiu a transferência de fundos. Combinado com o fato de que ele enviou a si mesmo um total de 1.100 ETH via Tornado Cash duas vezes, isso eleva seus ganhos para quase US$ 2 milhões. Quando perguntei por que, Federico me disse: "Não pensei muito sobre isso. Pensei, se me derem 10% do bounty, é muito para mim. Vou tentar pegar 1% disso." ”
Seu próximo movimento é de longe o mais confuso. Em 17 de março, pouco antes das 5h, Federico enviou 100 ETH novamente, desta vez para uma carteira notória que havia realizado um dos maiores hacks de criptomoedas da história um ano antes - da Ronin Bridge roubou mais de US$ 600 milhões. Apenas um mês depois, o Escritório de Controle e Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) vinculou oficialmente a vulnerabilidade da Ronin Bridge ao grupo Lazarus.
No entanto, quando perguntei a ele sobre isso, sua explicação me surpreendeu. "Não fazia ideia de que era a Coreia do Norte. Nunca suspeitei", começou ele. “A razão pela qual enviei 100 ETH para exploradores Ronin foi pura admiração… Acho que, de hackers de chapéu branco a hackers de chapéu preto, gostaria de expressar minha admiração.”
Fiquei atordoado e Federico também viu. "Eu sei que você não esperava que eu dissesse isso, mas é verdade", ele respondeu. "Acho que esta é a área mais importante do mundo hoje, e o hack do Ronin foi um ato de engenharia. Nesse sentido, é admirável... Demônios também podem ser mulheres bonitas."
No dia seguinte, Federico começou a devolver os recursos, inicialmente em três parcelas de 1.000 ETH cada, totalizando aproximadamente US$ 5,4 milhões na época. Então, sua carteira ficou dormente novamente. Os analistas estavam céticos na época de que Euler seria capaz de recuperar os fundos restantes.
Mas dois dias depois, em 20 de março, Federico enviou sua primeira mensagem à equipe de Euler: "Queremos facilitar para todos os afetados. Nenhuma intenção de manter coisas que não nos pertencem. Estabeleça comunicações seguras. Vamos fazer um acordo."
Federico admitiu que a notícia estava um pouco atrasada: "Eu estava tentando decidir se era uma boa ideia guardar $ 20 milhões para mim ... porque foi isso que Euler me ofereceu", disse ele. "Eu estava realmente despreparado, inexperiente e novo ... Não dormi por dias, semanas, mas no final do dia, sabia que tinha que devolver e sabia que não queria fazer qualquer dano à base de usuários de Euler."
Ainda assim, Federico demorou um pouco para devolver os fundos. Em 25 de março, por volta das 15h, 81.953 ETH (aproximadamente US$ 143 milhões) foram vistos pela primeira vez. Então, no dia 27, seguiram-se $ 10 milhões em DAI. Às 3 da manhã do dia 28, Federico se desculpou publicamente, dizendo: "Eu estraguei tudo. Não queria, mas estraguei o dinheiro de outras pessoas, o trabalho de outras pessoas, a vida de outras pessoas ... por favor, me perdoe." alguns fundos ainda estavam sob seu controle.
Finalmente, em 3 de abril, a equipe de Euler anunciou com entusiasmo que, após as últimas transações do hacker, todos os "fundos recuperáveis" haviam sido devolvidos. Euler também revogou oficialmente a recompensa de $ 1 milhão pela cabeça de Federico. A devolução dos fundos marcou uma das recuperações mais bem-sucedidas da história do DeFi, e Federico ficou aliviado por tudo ter acabado.
Então, dois meses e meio depois, a carteira de Federico tornou-se ativa novamente, enviando mensagens para si mesmo. A primeira foi em 17 de junho, com apenas duas palavras: "Ben yre" - Buenos Aires. Dezessete minutos depois, outra mensagem veio da carteira, também em espanhol, afirmando ser um hacker argentino, peronista e de chapéu branco. O conselho da mensagem para outros hackers: "Não seja estúpido, não roube, ganhe a recompensa".
Ao final da mensagem, a carteira é vinculada a uma conta do Instagram - @federicojaimeok. Enviei-lhe uma mensagem privada. Começamos a conversar no Instagram, onde as histórias de Federico estão arquivadas desde setembro de 2022, e depois conversamos no Telegram. Durante nossa conversa, tudo o que esse homem me disse combinava com o que eu havia aprendido sobre Federico em outras fontes. Federico também me forneceu o número de telefone de seu pai, que confirmou sua identidade e parentesco com Federico, e me forneceu outras informações que correspondiam ao que Federico havia me contado.
Federico me disse que decidiu aparecer não para seu próprio benefício, mas para o benefício da comunidade DeFi. "Quero encorajar o hacking ético, esse é o principal motivo, e quero ter voz e dizer às pessoas para fazerem a coisa certa."
Federico também espera que as táticas de negociação de Euler com os invasores estabeleçam um precedente para outras partes do DeFi seguirem. "Tenho certeza de que a cena de hacking em finanças descentralizadas será diferente após o hack de Euler. Acho que mostra ao mundo a importância da auditoria e a importância de negociar após um hack", disse ele.
Erin Plante, vice-presidente de investigações da Chainalysis, disse: "Nem todos no espaço das criptomoedas estão entusiasmados com recompensas de bugs e negociações de hackers se tornando a norma. A maioria dos hacks de DeFi não começa com recompensas legítimas de bugs. $ 500.000, eles geralmente exigem 50% ou mais do valor total dos fundos roubados como comissão, o que é mais como extorsão.”
Plante também observou que, à medida que as agências de aplicação da lei melhoram o rastreamento de criptomoedas ilícitas, fica mais difícil para os hackers sacar seus ganhos. "Neste contexto, juntamente com um declínio coletivo nas recompensas em toda a indústria, os incentivos para os hackers fazerem o trabalho devem mudar", disse ela.
Federico insistiu várias vezes comigo que seu plano desde o início era devolver os fundos. Então, por que demorou três semanas?
"Quero ter tempo para me proteger e encontrar maneiras de estar seguro, legalmente ou não", disse ele.
Claro, algumas das afirmações de Federico não podem ser verificadas. Federico me disse que o design e a implementação do protocolo era inteiramente seu trabalho (“Eu fiz tudo sozinho”), embora ele ocasionalmente receba conselhos de um colega, como uma lista de protocolos DeFi para pesquisar (o que é mais como mascarar o envolvimento de outras pessoas, já que não há como determinar quem escreveu o código a partir dos dados on-chain que temos.)
Também nunca saberemos se Federico teria ficado com o dinheiro se tivesse planejado melhor o ataque. Ele admitiu para mim que se arrependia de não ter pensado nas consequências, mas disse que era apenas para fazer a coisa certa. "Eu simplesmente não planejei o suficiente e a quantia era muito grande para eu lidar", disse ele.
Federico me disse que lamenta a dor que causou à equipe de Euler. “Quando li o tweet de Michael Bentley dizendo que ele teve que sacrificar o tempo com sua família, partiu meu coração”, disse ele. Quando perguntei se ele estava preocupado com as futuras repercussões do ataque, ele descartou essas preocupações. “Estou confiante de que, legalmente, a equipe da Euler não será capaz de me rastrear retroativamente, pois isso impediria que futuros hackers devolvessem fundos.”
Para o deleite (e quase descrença) das vítimas, a Euler Finance começou a pagar indenizações às vítimas de ataque em 12 de abril. O impacto da vulnerabilidade se espalhou para outros 11 protocolos DeFi. Um deles (Yield Protocol) não foi retomado até 27 de junho. A Euler Finance está paralisada desde o hack.
Federico, ainda na Europa, descreveu sua situação pessoal como "complicada", mas disse que espera voltar a Buenos Aires em breve para continuar seus estudos. "Minha vida não tem sido tão fácil desde o hack de Euler e isso me deixou estressado."
Perguntei a Federico se ele achava que Deus, aparentemente respondendo às suas orações, estava lhe ensinando uma lição. "Acho que ele está jogando um jogo comigo ou (me testando)", respondeu ele.
Federico ainda não se decidiu.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Confrontado com 200 milhões de dólares de hesitação por três semanas, o hacker Euler de 19 anos não consegue superar sua consciência
原文标题:《ELE ROUBOU $ 200 MILHÕES. ELE DEVOLVEU. AGORA, ELE ESTÁ PRONTO PARA EXPLICAR O PORQUÊ》
Autor Original: Zack Abrams, Coinage
Compilação: BlockBeats
Em 13 de março de 2023, em apenas 18 minutos, um hacker roubou quase US$ 200 milhões em criptomoedas da Euler Finance, uma popular plataforma de empréstimos, no maior roubo do ano. Depois de apenas três semanas, ele reverteu o acordo e devolveu tudo o que havia roubado.
Pela primeira vez desde o hack, o chefe da operação se apresentou para explicar sua opinião sobre os acontecimentos e afirmar que não tinha intenção de ficar com o dinheiro.
Coinage falou com o homem que alegou ser o hacker, um jovem argentino chamado Federico Jaime, uma afirmação apoiada por outras evidências significativas. Esta é a história dele.
Crédito da imagem: Instagram @federicojaimeok
Eram cerca de 3 da manhã de uma noite fria de março em Roma, e Federico estava do lado de fora de um bar, esperando por amigos e conversando com Deus. O argentino de 19 anos está procurando algo há um mês e ainda não encontrou. Ele se perguntou por quê.
"Nossa, se todos os meus projetos ficam prontos em um mês, por que não desta vez?", pensou, olhando para o céu. “Por que não consigo ouvir agora, quando ouvi antes?” Ele ainda estava a horas de voltar ao hotel.
Quando finalmente chegou em casa, não conseguia dormir, como sempre. Então, ele decidiu ir trabalhar.
As orações de Federico foram respondidas quase imediatamente, talvez profeticamente. Ele encontrou o que procurava: um bug no código de um programa de empréstimo de criptomoedas. Ele imediatamente começou a explorar sua descoberta.
“Quando trabalho, trabalho como um artista, como um escritor”, Federico me disse mais tarde por telefone em inglês, sua segunda língua. "A falta de sono é uma boa coisa para despertar a Musa."
Federico não conseguiu dormir nos dois dias seguintes. Quando ele finalmente acorda em uma cama de hospital na Itália, ele vale $ 200 milhões a mais, mas sente uma maldição marcada em suas costas.
Crédito da imagem: Instagram @federicojaimeok
O mundo das criptomoedas depende da transparência. Toda transação – enviar dinheiro para um amigo, comprar um NFT, pegar um empréstimo – é pública e irreversível. Os aplicativos em execução no blockchain (chamados contratos inteligentes) também são públicos; qualquer pessoa pode inspecionar o código por conta própria.
Como o interesse em criptomoedas explodiu nos últimos anos, o mesmo aconteceu com toda uma indústria de aplicativos financeiros descentralizados, permitindo que os investidores em criptomoedas troquem tokens, obtenham empréstimos, façam apostas alavancadas em movimentos de preços e ganhem juros. Cerca de US$ 45 bilhões em criptomoedas estão atualmente comprometidos com os protocolos DeFi; no outono de 2021, esse número ultrapassará US$ 175 bilhões, aproximadamente o equivalente a todo o valor dos depósitos mantidos pelo Morgan Stanley.
DeFi fornece inovações financeiras empolgantes para entusiastas de criptomoedas, de acordo com o rápido desenvolvimento e a regulamentação frouxa do campo de criptomoedas. Se você quiser emprestar $ 200 milhões sem garantia, ou especular sobre criptomoedas “meme” como DOGE e PEPE, então DeFi é o único caminho a percorrer.
Ao mesmo tempo, os hackers veem o DeFi como vários cofres de bancos digitais, cada um com um projeto público (código aberto), efetivamente convidando alguém a tentar roubar. Os protocolos DeFi se tornaram o alvo principal dos hackers de criptomoedas, que roubaram US$ 2,2 bilhões da DeFi em 2021 e US$ 3,1 bilhões em 2022, respondendo por 80% de todas as criptomoedas roubadas naquele ano, de acordo com a empresa de pesquisa de criptomoedas Chainaanalysis acima.
O hack de criptomoeda mais bem-sucedido até hoje é o Lazarus Group, com US$ 1,1 bilhão dos US$ 1,7 bilhão roubados da Lazarus em 2022 provenientes de exploits DeFi.
Diante de ataques intermináveis, os protocolos DeFi respondem recrutando empresas de segurança para auditar contratos inteligentes, monitorar ameaças e até atrair hackers de chapéu branco (ou seja, hackers que sinalizam vulnerabilidades em troca de recompensas, em vez de hackers de chapéu preto que os exploram) . Roube explorações para si mesmo. Mesmo um protocolo DeFi altamente controlado que toma todas as precauções ainda pode ser vítima de um hack poderoso às vezes por apenas um jovem de 19 anos com Deus ao seu lado.
Crédito da imagem: Instagram @federicojaimeok
Tudo isso pode ser evitado com uma única linha de código.
De volta ao hotel, quando o sol nasceu sobre Roma, Federico começou a trabalhar em um protocolo de empréstimo DeFi chamado Euler Finance, desenvolvido pela startup londrina Euler Labs. Euler permite que seus usuários façam empréstimos até dez vezes o valor de sua garantia depositada; coloque $ 10.000 e você pode negociar como $ 100.000. Mas as criptomoedas são voláteis e, se os preços se moverem na direção errada, os depósitos dos usuários podem não ser suficientes para garantir o resgate de suas garantias. É por isso que toda vez que um usuário interage com o Euler, a plataforma verifica a saúde de sua conta e, se a pontuação de saúde ficar muito baixa, uma liquidação automática é acionada.
Mas Federico viu algo que não existia: a falta de verificações de saúde para uma única função em um único contrato inteligente de Euler. Em apenas algumas horas de pesquisa, Federico descobriu o que a equipe de Euler, bem como vários auditores independentes de contratos inteligentes, haviam perdido.
"É apenas inspiração divina. Está apenas despertando minha musa", disse Federico. "Exatamente, depois de um mês procurando o que eu procurava...encontrei."
Federico começa a planejar seu ataque. Em 13 de março, após dois dias de programação ininterrupta, ele estava quase pronto para executar. O único problema: ele não sabe como implantar o contrato inteligente, nem quanto vai custar.
“Eu estava pesquisando no Google, ‘quanto custa implantar um contrato inteligente? "WTF"
Mas Federico foi em frente e acabou descobrindo que os custos reais de implantação do contrato são muito mais baixos. A essa altura, alguns dias depois de dormir até tarde, Federico me disse que não estava pensando em dinheiro. "Acho que é um experimento. Apenas um experimento", explicou. "Não tenho certeza se vai funcionar... Não tenho certeza se posso implantar um contrato inteligente. Tenho mais dúvidas do que certeza."
"Então eu realmente subestimei o bug e a mim mesmo porque finalmente funcionou", acrescentou.
Na manhã de 13 de março de 2023, às 9h54, horário italiano, Federico está sentado em frente ao computador. Ao longo de 18 minutos, as três carteiras que ele usou para lançar o ataque à Euler Finance roubaram US$ 197 milhões em criptomoedas do protocolo. Os fundos acabaram todos em uma carteira - uma mochila virtual cheia de pilhas de notas de cem dólares.
"Primeiro, pensei, isso é tão emocionante. Fechei um grande negócio e depois pensei, uau, $ 200 milhões. Isso é uma maldição nas minhas costas."
Ainda sem conseguir dormir, Federico mandou o recepcionista do hotel chamar uma ambulância.
![O hacker Euler de 19 anos não conseguiu superar a hesitação de 200 milhões de dólares por três semanas] (https://img-cdn.gateio.im/social/moments-69a80767fe-8eb6cbd321-dd1a6f-7649e1)
Crédito da imagem: Instagram @federicojaimeok
Os primeiros a detectar anomalias são os bots, e algumas empresas de segurança criptográfica fornecem monitoramento e alertas de ameaças em tempo real para projetos DeFi. No caso do hack de Euler, pelo menos duas empresas de segurança, Forta e Hypernative, foram alertadas antes do início do ataque.
Infelizmente para o Euler Labs, que se recusou a comentar para este artigo, o alerta automático veio poucos minutos antes do início do ataque, tornando muito cedo para a startup com sede em Londres proteger o protocolo. ("Normalmente prevemos um ataque entre um minuto e uma hora", disse Alex Behrens, gerente de marketing da Forta.)
Às 8h59, horário do Reino Unido, na segunda-feira, 11 de março, a empresa de segurança blockchain PeckShield postou nas mídias sociais "Olá @eulerfinance: você pode querer dar uma olhada" e vincular a uma página mostrando que a carteira havia hackeado o fornecimento de DAI Stablecoin de Euler, com mais de $ 8,7 milhões em fundos roubados.
Então, todos assistiram Euler ser atingido várias vezes. O hacker roubou $ 18,5 milhões em WBTC, depois $ 116 milhões em stETH ... No final, o hacker obteve um lucro de $ 197 milhões e toda a reserva de 6 tokens de Euler foi eliminada.
Às 9h56, Euler citou PeckShield nas redes sociais dizendo: "Entendemos que nossa equipe está trabalhando atualmente com profissionais de segurança e policiais. Divulgaremos mais informações assim que as tivermos."
Como se trata de criptomoeda, todos podem ver os fundos na carteira do hacker. Ao analisar as transações da carteira, os especialistas em segurança conseguiram fazer a engenharia reversa do ataque, descobrindo a única vulnerabilidade que levou ao roubo. Mas também por se tratar de criptomoeda, a equipe de Euler não tinha como vincular a carteira a uma identidade real ou entender as intenções do hacker.
Em 13 de março, o ato final dos hackers foi enviar 100 ETH (no valor de $ 168.000 na época) via Tornado Cash, um protocolo de transação "híbrido" no Ethereum que torna os fundos mais difíceis de rastrear. Então, o endereço da carteira é silencioso.
Às 10h47 daquela noite, a equipe do Euler enviou uma mensagem para a carteira do hacker dizendo: "Entendemos que você é o responsável pelo ataque desta manhã à plataforma Euler. Estamos escrevendo para ver se você gostaria de discutir possíveis próximos passos conosco." Esta comunicação provisória marca o início de três semanas difíceis para a equipe de Euler.
No dia seguinte, às 21h22, a equipe de Euler enviou outra mensagem para a carteira do hacker oferecendo a devolução de 90% dos fundos roubados em 24 horas - deixando o hacker retendo a recompensa de fato de $ 20 milhões pelo bug. Caso contrário, Euler está oferecendo uma recompensa de $ 1 milhão para quem fornecer informações que levem à prisão do hacker.
O hacker não respondeu.
Em 15 de março, às 11h20, a equipe de Euler enviou mais uma mensagem para a carteira do hacker, reiterando a oferta de recompensa do bug anterior. “A investigação pode então ser interrompida e o foco pode mudar para distribuí-lo de volta aos usuários do protocolo sem seguir o caminho legal”, escreveu a equipe de Euler.
Às 22h06, depois que os hackers permaneceram em silêncio, a equipe de Euler anunciou uma recompensa de US$ 1 milhão por informações que levassem à prisão do hacker e à recuperação dos fundos. No dia seguinte, o cofundador e CEO da Euler, Dr. Michael Bentley, compartilhou sua resposta ao ataque, chamando os dias anteriores de os mais difíceis de sua vida e expressando sua dor pelos usuários afetados.
"Tive que sacrificar meu tempo com meu filho recém-nascido", tuitou Bentley. “Nunca perdoarei os invasores, mas eles podem corrigir seus erros e devolver os fundos ao Tesouro da EulerDAO o mais rápido possível.”
Crédito da imagem: Instagram @federicojaimeok
Federico Jaime afirma que nunca teve a intenção de ficar com o dinheiro. “Eu sabia desde o início que $ 200 milhões não era um número pequeno, causaria grandes danos à comunidade DeFi, e esse não era meu objetivo de forma alguma.”
Todos nós gostaríamos de saber, mesmo que por um momento, se Federico já se perguntou o que $ 200 milhões poderiam comprar, imaginou-se morando em uma mansão? Em um iate?
"Nunca, de jeito nenhum, porque sou um empresário. Posso ganhar dinheiro legalmente e sem falhas. Não preciso roubar. Não tenho motivos para pegar o dinheiro dos outros."
Para a maioria das pessoas, tal comentário não passaria de revirar os olhos. Afinal, a comunidade criptográfica não é conhecida por sua humildade. Mas já vi fotos de Federico viajando pela Europa, hospedando-se em hotéis cinco estrelas e vestindo roupas de grife. Em nossas conversas por telefone e mensagens de texto ocasionais, perguntei a Federico, que completa 20 anos em junho, como ele mantém seu estilo de vida.
Federico cresceu em Buenos Aires com seus pais e irmã mais nova. Inspirado por seu pai engenheiro de software, ele aprendeu a programar aos 12 anos e vendeu seu primeiro programa, um plugin para o videogame Minecraft, por $ 10.000 aos 14 anos. "Significa liberdade porque não preciso mais pedir dinheiro aos meus pais e eles me aplaudem."
Quando cresceu, Federico mudou-se para um novo jogo, GTA V, onde desenvolveu um sistema anti-fraude para um servidor multijogador personalizado administrado por fãs obstinados do jogo. "Encontrei um bug de leitura de memória. Vi que poderíamos lucrar com isso", disse Federico, acrescentando que o software, FiveGuard, agora pertence a outra pessoa. "É especial porque quando você entra em um servidor de jogo com algum tipo de vantagem injusta, você é banido imediatamente."
Federico originalmente planejava ir para a Argentina para estudar direito, mas depois de se formar em 2020 e lidar com a nova epidemia da coroa (há muitas restrições locais e um longo período de quarentena em Buenos Aires), Federico, após obter o consentimento de seus pais, ele decidiu tirar longas férias antes da faculdade.
No início de outubro do ano passado, Federico viajou para Roma. Em dezembro, ele supostamente atacou a Buenbit, uma exchange de criptomoedas que opera na Argentina, México e Peru, e roubou centenas de milhares de dólares. O CEO da Buenbit, Federico Ogue, caracterizou o ataque como fraudulento. Reportagens citando fontes policiais estimam o custo do ataque em US$ 800.000, valor negado por Federico.
Federico não quis comentar sobre os detalhes do caso e, embora reconhecesse que tinha como alvo Buenbit, também afirmou que muitos dos detalhes mais emocionantes dos relatos da mídia eram enganosos ou totalmente fabricados. O jovem de 20 anos mantém sua inocência no caso, lembrando que ele e seu advogado estão em contato com a equipe de Buenbit e que espera que o assunto seja resolvido o mais rápido possível.
E, poucos meses depois, Federico tem novas preocupações, desta vez de 200 milhões.
![O hacker Euler de 19 anos não conseguiu superar a hesitação de 200 milhões de dólares por três semanas] (https://img-cdn.gateio.im/social/moments-69a80767fe-d0430818da-dd1a6f-7649e1)
Crédito da imagem: Instagram @federicojaimeok
No momento do ataque, a Euler Finance tinha até 7.000 usuários. Dois dias depois, em 15 de março, uma das vítimas decidiu enviar uma mensagem para a carteira do hacker (carteira de Federico).
"Por favor, considere devolver 90%/80%. Sou um usuário com apenas 78 wstETH e, como um usuário que economizou minhas economias em Euler, não sou uma baleia ou um milionário." DL News confirmou que o usuário é um Desenvolvedores argentinos chamados Santiago Avalos Blockchain, ele escreveu. "Você não pode imaginar o caos em que estou agora, totalmente devastado... Sua decisão será um alívio para muitos afetados."
As economias de vida de Avalos de 78 wstETH valiam mais de $ 140.000 na época. Treze horas depois que Avalos enviou a mensagem, Federico respondeu, mas não por mensagem de texto. Em vez disso, Federico fez sua primeira jogada desde o hack há três dias, enviando 100 ETH para Avalos, cerca de US$ 27.000 a mais do que a vítima perdeu no acidente de Euler. Avalos transferiu o excesso de fundos de volta para Euler, dizendo: "Acredito que ele pode ter se emocionado com minha mensagem."
“É um ato genuíno meu”, disse Federico sobre sua motivação para devolver os fundos. "Eu estava sendo generoso. Além disso, descobri mais tarde que esse cara... também era argentino e um desenvolvedor do Solidity", acrescentou. "É realmente uma coincidência muito interessante."
Federico ainda não concluiu a transferência de fundos. Combinado com o fato de que ele enviou a si mesmo um total de 1.100 ETH via Tornado Cash duas vezes, isso eleva seus ganhos para quase US$ 2 milhões. Quando perguntei por que, Federico me disse: "Não pensei muito sobre isso. Pensei, se me derem 10% do bounty, é muito para mim. Vou tentar pegar 1% disso." ”
Seu próximo movimento é de longe o mais confuso. Em 17 de março, pouco antes das 5h, Federico enviou 100 ETH novamente, desta vez para uma carteira notória que havia realizado um dos maiores hacks de criptomoedas da história um ano antes - da Ronin Bridge roubou mais de US$ 600 milhões. Apenas um mês depois, o Escritório de Controle e Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) vinculou oficialmente a vulnerabilidade da Ronin Bridge ao grupo Lazarus.
No entanto, quando perguntei a ele sobre isso, sua explicação me surpreendeu. "Não fazia ideia de que era a Coreia do Norte. Nunca suspeitei", começou ele. “A razão pela qual enviei 100 ETH para exploradores Ronin foi pura admiração… Acho que, de hackers de chapéu branco a hackers de chapéu preto, gostaria de expressar minha admiração.”
Fiquei atordoado e Federico também viu. "Eu sei que você não esperava que eu dissesse isso, mas é verdade", ele respondeu. "Acho que esta é a área mais importante do mundo hoje, e o hack do Ronin foi um ato de engenharia. Nesse sentido, é admirável... Demônios também podem ser mulheres bonitas."
No dia seguinte, Federico começou a devolver os recursos, inicialmente em três parcelas de 1.000 ETH cada, totalizando aproximadamente US$ 5,4 milhões na época. Então, sua carteira ficou dormente novamente. Os analistas estavam céticos na época de que Euler seria capaz de recuperar os fundos restantes.
Mas dois dias depois, em 20 de março, Federico enviou sua primeira mensagem à equipe de Euler: "Queremos facilitar para todos os afetados. Nenhuma intenção de manter coisas que não nos pertencem. Estabeleça comunicações seguras. Vamos fazer um acordo."
Federico admitiu que a notícia estava um pouco atrasada: "Eu estava tentando decidir se era uma boa ideia guardar $ 20 milhões para mim ... porque foi isso que Euler me ofereceu", disse ele. "Eu estava realmente despreparado, inexperiente e novo ... Não dormi por dias, semanas, mas no final do dia, sabia que tinha que devolver e sabia que não queria fazer qualquer dano à base de usuários de Euler."
Ainda assim, Federico demorou um pouco para devolver os fundos. Em 25 de março, por volta das 15h, 81.953 ETH (aproximadamente US$ 143 milhões) foram vistos pela primeira vez. Então, no dia 27, seguiram-se $ 10 milhões em DAI. Às 3 da manhã do dia 28, Federico se desculpou publicamente, dizendo: "Eu estraguei tudo. Não queria, mas estraguei o dinheiro de outras pessoas, o trabalho de outras pessoas, a vida de outras pessoas ... por favor, me perdoe." alguns fundos ainda estavam sob seu controle.
Finalmente, em 3 de abril, a equipe de Euler anunciou com entusiasmo que, após as últimas transações do hacker, todos os "fundos recuperáveis" haviam sido devolvidos. Euler também revogou oficialmente a recompensa de $ 1 milhão pela cabeça de Federico. A devolução dos fundos marcou uma das recuperações mais bem-sucedidas da história do DeFi, e Federico ficou aliviado por tudo ter acabado.
Então, dois meses e meio depois, a carteira de Federico tornou-se ativa novamente, enviando mensagens para si mesmo. A primeira foi em 17 de junho, com apenas duas palavras: "Ben yre" - Buenos Aires. Dezessete minutos depois, outra mensagem veio da carteira, também em espanhol, afirmando ser um hacker argentino, peronista e de chapéu branco. O conselho da mensagem para outros hackers: "Não seja estúpido, não roube, ganhe a recompensa".
Ao final da mensagem, a carteira é vinculada a uma conta do Instagram - @federicojaimeok. Enviei-lhe uma mensagem privada. Começamos a conversar no Instagram, onde as histórias de Federico estão arquivadas desde setembro de 2022, e depois conversamos no Telegram. Durante nossa conversa, tudo o que esse homem me disse combinava com o que eu havia aprendido sobre Federico em outras fontes. Federico também me forneceu o número de telefone de seu pai, que confirmou sua identidade e parentesco com Federico, e me forneceu outras informações que correspondiam ao que Federico havia me contado.
Federico me disse que decidiu aparecer não para seu próprio benefício, mas para o benefício da comunidade DeFi. "Quero encorajar o hacking ético, esse é o principal motivo, e quero ter voz e dizer às pessoas para fazerem a coisa certa."
Federico também espera que as táticas de negociação de Euler com os invasores estabeleçam um precedente para outras partes do DeFi seguirem. "Tenho certeza de que a cena de hacking em finanças descentralizadas será diferente após o hack de Euler. Acho que mostra ao mundo a importância da auditoria e a importância de negociar após um hack", disse ele.
Erin Plante, vice-presidente de investigações da Chainalysis, disse: "Nem todos no espaço das criptomoedas estão entusiasmados com recompensas de bugs e negociações de hackers se tornando a norma. A maioria dos hacks de DeFi não começa com recompensas legítimas de bugs. $ 500.000, eles geralmente exigem 50% ou mais do valor total dos fundos roubados como comissão, o que é mais como extorsão.”
Plante também observou que, à medida que as agências de aplicação da lei melhoram o rastreamento de criptomoedas ilícitas, fica mais difícil para os hackers sacar seus ganhos. "Neste contexto, juntamente com um declínio coletivo nas recompensas em toda a indústria, os incentivos para os hackers fazerem o trabalho devem mudar", disse ela.
Federico insistiu várias vezes comigo que seu plano desde o início era devolver os fundos. Então, por que demorou três semanas?
"Quero ter tempo para me proteger e encontrar maneiras de estar seguro, legalmente ou não", disse ele.
Claro, algumas das afirmações de Federico não podem ser verificadas. Federico me disse que o design e a implementação do protocolo era inteiramente seu trabalho (“Eu fiz tudo sozinho”), embora ele ocasionalmente receba conselhos de um colega, como uma lista de protocolos DeFi para pesquisar (o que é mais como mascarar o envolvimento de outras pessoas, já que não há como determinar quem escreveu o código a partir dos dados on-chain que temos.)
Também nunca saberemos se Federico teria ficado com o dinheiro se tivesse planejado melhor o ataque. Ele admitiu para mim que se arrependia de não ter pensado nas consequências, mas disse que era apenas para fazer a coisa certa. "Eu simplesmente não planejei o suficiente e a quantia era muito grande para eu lidar", disse ele.
Federico me disse que lamenta a dor que causou à equipe de Euler. “Quando li o tweet de Michael Bentley dizendo que ele teve que sacrificar o tempo com sua família, partiu meu coração”, disse ele. Quando perguntei se ele estava preocupado com as futuras repercussões do ataque, ele descartou essas preocupações. “Estou confiante de que, legalmente, a equipe da Euler não será capaz de me rastrear retroativamente, pois isso impediria que futuros hackers devolvessem fundos.”
Para o deleite (e quase descrença) das vítimas, a Euler Finance começou a pagar indenizações às vítimas de ataque em 12 de abril. O impacto da vulnerabilidade se espalhou para outros 11 protocolos DeFi. Um deles (Yield Protocol) não foi retomado até 27 de junho. A Euler Finance está paralisada desde o hack.
Federico, ainda na Europa, descreveu sua situação pessoal como "complicada", mas disse que espera voltar a Buenos Aires em breve para continuar seus estudos. "Minha vida não tem sido tão fácil desde o hack de Euler e isso me deixou estressado."
Perguntei a Federico se ele achava que Deus, aparentemente respondendo às suas orações, estava lhe ensinando uma lição. "Acho que ele está jogando um jogo comigo ou (me testando)", respondeu ele.
Federico ainda não se decidiu.