רשת פולי (Poly Network), פרוטוקול המגשר בין רשתות בלוקצ'יין שונות, הותקפה לפניי יומיים ע"י האקר שזיהה פרצה (באג) בפרוטוקול.
במתקפה נגנבו מטבעות דיגיטליים בשווי של למעלה מ-600 מיליון דולר, אך ההאקר החל להחזיר את הכספים ומנהל משא ומתן עם מפתחי הרשת בהודעות על גבי הבלוקצ'יין.
על פי חברת ניתוח נתונים מהבלוקצ'יין, Elliptic, ההאקר החזיר מטבעות בשווי של כ-258 מיליון דולר לרשת פולי. שאר הכספים, בשווי של כ-340 מיליון דולר, עוד לא הוחזרו.
עוד לא ברור האם ההאקר הוא "כובע לבן" (האקר המשתמש ביכולותיו למטרות חיוביות), מאחר והביע את כוונתו להחזיר את הכספים, או שהוא פשוט הבין שיהיה לו מסובך מדי להעלים את עקבותיהם של המטבעות בשווי 600 מיליון דולר.
אם להאמין לדבריו, ואם ימשיך בהחזרת הכספים, יש להניח שכוונתו הייתה באמת לעזור לחשוף את הבאגים ולחזק את האבטחה של רשתות קריפטו כמו פולי.
התכתבויות על אתריום
משתמש אחד שלח הודעה על גבי טרנזקציה ברשת אתריום, וכתב להאקר: "אל תשתמש בטוקן USDT, הם יכניסו אותך לרשימה השחורה." ההאקר שלח טיפ למוסר ההודעה בשווי של כ-42 אלף דולר. לאחר מכן, הודעות רבות נשלחו בבקשה לקבל קצת מהשלל של ההאקר.
כמעט בכל ארנק כיום ניתן להוסיף הודעה לעסקת העברה של מטבע דיגיטלי, עבור מי שאינו יודע. למשל, כשסטושי נקמוטו יצר את הבלוק הראשון של ביטקוין, הוא הוסיף בהודעה את כותרת העיתון באותו היום.
בחזרה להאקר – מאוחר יותר, ההאקר ערך התכתבות – על גבי הבלוקצ'יין גם כן, של שאלות ותשובות בנוגע לפריצה. בהתכתבות ההאקר טען כי הכוונה שלו טובה ואין לו עניין בכסף.
באחת ההודעות הראשונות, ההאקר כתב שהוא מבקש עזרה לשלוח את הכספים למיקסר שיעזור לו לטשטש את עקבותיו. בתשובה לשאלה מדוע הוא ביקש עזרה, כתב: "זו הייתה בדיחה רעה שלי אחרי שפגשתי כל כך הרבה קבצנים."
הנה כמה שורות מסשן השאלות והתשובות על גבי הבלוקצ'יין של אתריום:
"ש: למה לפרוץ?
ת: בשביל הכיף 🙂
ש: למה להעביר טוקנים?
ת: כדי לשמור אותם בטוחים.
כשזיהיתי את הבאג, היו לי רגשות מעורבים. שאל את עצמך מה היית עושה אם היה עומד מולך שלל כזה. שואל את צוות הפרויקט בנימוס כדי שהם יוכלו לתקן את זה? כל אחד יכול לבגוד אם היו מולו מיליארד (דולר)! אני לא יכול לבטוח באף אחד! הפיתרון היחיד שיכולתי לחשוב עליו זה לשמור את זה בחשבון אמין בזמן שאני שומר על עצמי אנונימי ובטוח.
עכשיו כולם מריחים תחושה של קונספירציה. מישהו מבפנים? לא אני, אבל מי יודע? אני לוקח את האחריות לחשוף את הפגיעות לפני שמישהו מבפנים יחביא וינצל אותה!"
בהמשך ההתכתבות, ההאקר מסביר קצת על תהליך הפריצה ומציין כי הוא לא רצה לגרום לפניקה בעולם הקריפטו ולכן לא לקח את כל המטבעות. "בחרתי להתעלם מכל השיטקוינז, כדי שאנשים לא יצטרכו לדאוג שהם יקרסו לאפס. לקחתי מטבעות חשובים (חוץ מ-SHIB) ולא מכרתי אף אחד מהם," כתב ההאקר.
עוד הוסיף ההאקר וכתב: "אני רוצה לתת להם טיפים על איך לאבטח את הרשתות שלהם, כדי שהם יהיו ראויים לנהל את פרויקט המיליארד בעתיד."
ביום הפריצה, הצוות של רשת פולי יצא בהודעה פומבית המכוונת להאקר בבקשה שיצור איתם קשר. "האקר יקר," נכתב בפתח ההודעה בבקשה שההאקר יצור איתם קשר ויחזיר את הכספים. בהמשך ההודעה הצוות "הסביר" להאקר שזו עבירה חמורה ושרשויות האכיפה ירדפו אחריו.
כאשר נשאל ההאקר מדוע החל להעביר חלק מהכספים ממקום למקום, הוא ענה: "התעצבנתי על התגובה הראשונית של הצוות של פולי. הם עודדו אחרים להאשים ולשנוא אותי לפני שהייתה לי הזדמנות להגיב!"
ההאקר טוען גם שלא הייתה לו כל כוונה להלבין את הכספים, אלא "שבינתיים הפקדת המטבעות היציבים יכולים להרוויח ריבית כדי לכסות הוצאות פוטנציאליות כך שיהיה לי יותר זמן לנהל משא ומתן עם הצוות של פולי."
לסיכום
עולם הקריפטו מלא בהפתעות וחידושים. שאלות ותשובות עם האקר בהודעות מוצפנות על הבלוקצ'יין זה כנראה תקדים. האם נגלה מי ההאקר או ההאקרים הללו יום אחד? לא בטוח.
מה שבטוח זה שבעולם הכלכלה המבוזרת (DeFi) החוזים החכמים מתגלים שוב ושוב עם פרצות אבטחה חמורות המאפשרות להאקרים לגנוב את הכספים המופקדים.
אז בפעם הבאה שאתם מכניסים את הכסף שלכם לפרוטוקול DeFi, אולי כדאי לכם לחשוב פעמיים אם זה הסיכון שאתם מוכנים לקחת.
