Originalquelle: Münzprägung
Zusammengestellt von: Rhythm
In nur 18 Minuten stahl ein Hacker am 13. März 2023 im Rahmen des größten Diebstahls des Jahres Kryptowährungen im Wert von fast 200 Millionen US-Dollar von Euler Finance, einer beliebten Kreditplattform. Nur drei Wochen später machte er die Transaktion rückgängig und gab alle gestohlenen Vermögenswerte zurück.
Zum ersten Mal seit dem Diebstahl berichtete der Hacker über den Vorfall und behauptete, er habe überhaupt nicht die Absicht gehabt, die Gelder zu behalten.
Coinage sprach mit dem Mann, der behauptete, der Hacker zu sein, einem jungen Argentinier namens Federico Jaime, eine Behauptung, die durch andere wichtige Beweise gestützt wird. Das ist seine Geschichte.
Bildquelle: Instagram @federicojaimeok
An einem kühlen Märzabend in Rom stand Federico gegen 3 Uhr morgens vor einer Bar, wartete auf Freunde und redete mit Gott. Der 19-jährige Argentinier hat im letzten Monat nach etwas gesucht, aber er hat es noch nicht gefunden. Er wollte wissen warum.
„Meine Güte, wenn alle meine Projekte innerhalb eines Monats abgeschlossen sind, warum dann nicht dieses?“, dachte er und blickte in den Himmel. „Warum hast du mich vorher gehört, aber jetzt nicht?“ Es würde noch mehrere Stunden dauern, bis er ins Hotel zurückkehren konnte.
Als er endlich nach Hause kam, konnte er wie immer nicht schlafen. Also beschloss er, zur Arbeit zu gehen.
Federicos Gebete wurden fast sofort beantwortet, vielleicht prophetisch. Er entdeckte, wonach er gesucht hatte: eine Schwachstelle im Code eines Kryptowährungs-Kreditprogramms. Er machte sich sofort daran, seine Entdeckung auszunutzen.
„Wenn ich arbeite, arbeite ich wie ein Künstler, wie ein Schriftsteller“, erzählte mir Federico später am Telefon auf Englisch, seiner Zweitsprache. „Schlafmangel ist gut, um die Muse zu wecken.“
Federico konnte die nächsten zwei Tage nicht schlafen. Als er schließlich in einem Krankenhausbett in Italien aufwachte, war er um 200 Millionen Dollar reicher, hatte aber das Gefühl, dass ein Fluch auf seinem Rücken lastete.
Bildquelle: Instagram @federicojaimeok
Die Welt der Kryptowährungen ist auf Transparenz angewiesen. Jede Transaktion – Geld an einen Freund senden, ein NFT kaufen, einen Kredit aufnehmen – ist öffentlich und die Transaktion ist unumkehrbar. Auch Anwendungen, die auf der Blockchain laufen (sogenannte Smart Contracts), sind öffentlich; jeder kann den Code selbst einsehen.
Da das Interesse an Kryptowährungen in den letzten Jahren stark zugenommen hat, ist auch eine ganze Branche dezentraler Finanzanwendungen gestiegen, die es Kryptowährungsinvestoren ermöglichen, Token auszutauschen, Kredite zu erhalten, Hebelwetten auf Preisbewegungen abzuschließen und Zinsen zu verdienen. Derzeit sind etwa 45 Milliarden US-Dollar an Kryptowährungen in DeFi-Protokollen gebunden. Im Herbst 2021 überstieg diese Zahl 175 Milliarden US-Dollar, was in etwa dem gesamten von Morgan Stanley gehaltenen Einlagenbetrag entspricht.
DeFi bietet Kryptowährungsbegeisterten spannende Finanzinnovationen, die mit der rasanten Entwicklung und lockeren Regulierung des Kryptowährungsraums übereinstimmen. Wenn Sie 200 Millionen US-Dollar ohne Sicherheiten leihen oder auf „Meme“-Kryptowährungen wie DOGE und PEPE spekulieren möchten, ist DeFi die einzige Option.
Hacker hingegen betrachten DeFi als eine Art digitaler Banktresor, jeder mit einem öffentlichen Bauplan (der Code ist Open Source), praktisch eine Einladung für jemanden, einen Raubüberfall zu begehen. Laut dem Kryptowährungsforschungsunternehmen Chainaanalysis sind DeFi-Protokolle zum Hauptziel von Kryptowährungs-Hackern geworden, die im Jahr 2021 2,2 Milliarden US-Dollar und im Jahr 2022 3,1 Milliarden US-Dollar von DeFi gestohlen haben, was 80 % der gesamten gestohlenen Kryptowährung in diesem Jahr ausmacht.
Der bisher erfolgreichste Kryptowährungs-Hacker ist die Lazarus Group, und von den 1,7 Milliarden US-Dollar, die Lazarus im Jahr 2022 gestohlen hat, stammten 1,1 Milliarden US-Dollar aus DeFi-Schwachstellen.
Angesichts endloser Angriffe haben DeFi-Protokolle darauf reagiert, indem sie Sicherheitsfirmen rekrutiert haben, um intelligente Verträge zu prüfen, Bedrohungen zu überwachen und sogar White-Hat-Hacker anzulocken (Hacker, die Schwachstellen für Belohnungen markieren, statt Black-Hat-Hacker, die sie ausnutzen). Schwachstellen für sich selbst stehlen. Selbst DeFi-Protokolle, die streng überprüft werden und alle Vorsichtsmaßnahmen treffen, können immer noch Opfer eines mächtigen Hackers werden, und dieser Angreifer ist manchmal nur ein 19-jähriger Junge mit Gott auf seiner Seite.
Bildquelle: Instagram @federicojaimeok
Dies alles kann mit einer einzigen Codezeile verhindert werden.
Zurück im Hotel, als die Sonne über Rom aufging, begann Federico, sich mit einem DeFi-Kreditprotokoll namens Euler Finance zu befassen, das vom Londoner Startup Euler Labs entwickelt wurde. Euler ermöglicht seinen Benutzern, bis zum Zehnfachen des Wertes ihrer hinterlegten Sicherheiten abzuheben; investieren Sie 10.000 US-Dollar und Sie können handeln, als ob es 100.000 US-Dollar wären. Kryptowährungen sind jedoch volatil und die Einlagen der Benutzer reichen möglicherweise nicht aus, um die Rückzahlung ihrer Sicherheiten sicherzustellen, wenn sich der Preis negativ entwickelt. Aus diesem Grund überprüft die Plattform jedes Mal, wenn ein Benutzer mit Euler interagiert, den Zustand seines Kontos und löst eine automatische Auflösung aus, wenn der Gesundheitswert zu niedrig ist.
Aber Federico sah etwas, das nicht da war: eine fehlende Gesundheitsprüfung für eine einzelne Funktion in einem einzelnen Euler-Smart-Vertrag. In nur wenigen Recherchestunden entdeckte Federico, was Eulers Team und mehrere unabhängige Smart-Contract-Prüfer übersehen hatten.
„Es ist einfach eine göttliche Inspiration. Es weckt einfach meine Muse“, sagte Federico. „Im wahrsten Sinne des Wortes habe ich es gefunden, nachdem ich einen Monat lang nach dem gesucht hatte, wonach ich gesucht hatte.“
Federico beginnt mit der Planung seines Angriffs. Am 13. März, nach zwei Tagen schlaflosen Programmierens, war er fast bereit zur Ausführung. Das einzige Problem war: Er hatte keine Ahnung, wie der Smart Contract eingesetzt werden sollte und wie viel er kosten würde.
„Ich habe bei Google gesucht, wie viel kostet es, einen Smart Contract bereitzustellen? Und ich habe … Artikel gefunden, in denen es um 5.000 bis 50.000 US-Dollar geht“, sagte Federico und seine Stimme wurde lauter als Reaktion auf die Ungläubigkeit, die er empfand. „WTF“
Aber Federico machte weiter und stellte schließlich fest, dass die tatsächlichen Kosten für die Vertragsbereitstellung viel niedriger waren. Zu diesem Zeitpunkt, ein paar Tage nachdem er das letzte Mal geschlafen hatte, erzählte mir Federico, dass er überhaupt nicht an Geld dachte. „Ich denke, es ist ein Experiment. Nur ein Experiment“, erklärte er. „Ich bin nicht sicher, ob es funktionieren wird … Ich bin nicht sicher, ob ich einen Smart Contract einsetzen kann. Ich habe mehr Zweifel als Gewissheit.“
„Also habe ich die Sicherheitslücke und mich selbst wirklich unterschätzt, denn am Ende hat es funktioniert“, fügte er hinzu.
Am Morgen des 13. März 2023 um 9:54 Uhr italienischer Zeit saß Federico vor dem Computer. Innerhalb von 18 Minuten stahlen die drei Wallets, mit denen er den Angriff auf Euler Finance startete, Kryptowährungen im Wert von 197 Millionen US-Dollar aus dem Protokoll. Das gesamte Geld landete in einer Brieftasche – einer virtuellen Reisetasche voller Stapel von Hundert-Dollar-Scheinen.
„Zuerst dachte ich, das ist so aufregend. Ich habe einen riesigen Deal gemacht und dann dachte ich: Wow, 200 Millionen Dollar. Das ist ein Fluch auf meinem Rücken.“
Federico konnte immer noch nicht schlafen und bat den Hotel-Concierge, einen Krankenwagen zu rufen.
Bildquelle: Instagram @federicojaimeok
Die ersten, die Anomalien bemerkten, waren Bots, und mehrere Krypto-Sicherheitsunternehmen bieten Bedrohungsüberwachung und Warnungen in Echtzeit für DeFi-Projekte an. Im Fall des Euler-Hacks wurden mindestens zwei Sicherheitsunternehmen, Forta und Hypernative, vor Beginn des Angriffs alarmiert.
Unglücklicherweise für Euler Labs, das einen Kommentar zu diesem Artikel ablehnte, wurde die automatische Warnung nur wenige Minuten vor Beginn des Angriffs verschickt, sodass es für das in London ansässige Startup zu früh war, das Protokoll zu sichern. („Die Zeitspanne, in der wir einen Angriff vorhersagen, liegt normalerweise zwischen einer Minute und einer Stunde“, sagt Alex Behrens, Marketingmanager bei Forta.)
Am Montag, dem 11. März, britischer Zeit, um 8:59 Uhr veröffentlichte das Blockchain-Sicherheitsunternehmen PeckShield in den sozialen Medien „Hallo @eulerfinance: Vielleicht möchten Sie einen Blick darauf werfen“ und verlinkte auf eine Seite, aus der hervorgeht, dass das Wallet Eulers DAI-Stablecoin-Angebot angegriffen hatte , mehr als 8,7 Millionen US-Dollar an Geldern gestohlen.
Dann sahen alle zu, wie Euler immer wieder getroffen wurde. Der Hacker stahl 18,5 Millionen Dollar an WBTC, dann 116 Millionen Dollar an stETH ... Letztendlich machte der Hacker einen Gewinn von 197 Millionen Dollar und Eulers gesamte 6-Token-Reserve wurde vernichtet.
„Wir sind uns bewusst, dass unser Team derzeit mit Sicherheitsexperten und Strafverfolgungsbehörden zusammenarbeitet. Wir werden weitere Informationen veröffentlichen, sobald wir sie haben“, sagte Euler um 9:56 Uhr in den sozialen Medien und zitierte PeckShield.
Da es sich um eine Kryptowährung handelt, kann jeder die Gelder in der Brieftasche des Hackers sehen. Durch die Untersuchung der Transaktionen des Wallets konnten Sicherheitsexperten den Angriff rückentwickeln und schließlich die einzige Schwachstelle entdecken, die zum Diebstahl führte. Da es sich jedoch um eine Kryptowährung handelt, hat Eulers Team keine Möglichkeit, die Brieftasche mit einer realen Identität zu verknüpfen oder die Absichten des Hackers zu verstehen.
Die letzte Tat des Hackers am 13. März bestand darin, 100 ETH (damals im Wert von 168.000 US-Dollar) über Tornado Cash zu senden, ein „hybrides“ Transaktionsprotokoll auf Ethereum, das die Rückverfolgung von Geldern erschwert. Dann verstummte die Wallet-Adresse.
Um 22:47 Uhr an diesem Abend schickte das Euler-Team eine Nachricht an die Hacker-Wallet: „Wir gehen davon aus, dass Sie heute Morgen für den Angriff auf die Euler-Plattform verantwortlich sind. Wir schreiben Ihnen, um zu sehen, ob Sie bereit sind, mögliche weitere Schritte zu besprechen.“ Schritte mit uns. „Diese zaghafte Mitteilung markiert den Beginn schwieriger drei Wochen für das Euler-Team.
Am nächsten Tag um 21:22 Uhr schickte Eulers Team eine weitere Nachricht an die Brieftasche des Hackers und bot an, 90 % der gestohlenen Gelder innerhalb von 24 Stunden zurückzugeben – so dass der Hacker die faktische Fehlerprämie von 20 Millionen US-Dollar behalten konnte. Andernfalls setzt Euler jedem, der Informationen über den Hack hat, eine Belohnung von 1 Million US-Dollar aus.
Der Hacker antwortete nicht.
Am 15. März um 11:20 Uhr schickte das Euler-Team eine weitere Nachricht an die Hacker-Wallet und bekräftigte sein vorheriges Bug-Bounty-Angebot. „Die Untersuchung kann dann gestoppt werden und der Fokus kann sich auf die Weitergabe an die Protokollnutzer richten, ohne dass dazu rechtliche Wege beschritten werden müssen“, schrieb Eulers Team.
Um 22:06 Uhr an diesem Abend, nachdem der Hacker weiterhin geschwiegen hatte, kündigte Eulers Team eine Belohnung von 1 Million US-Dollar für Informationen an, die zur Festnahme des Hackers und zur Wiederbeschaffung der Gelder führten. Am nächsten Tag teilte Euler-Mitbegründer und CEO Dr. Michael Bentley seine Reaktion auf den Angriff mit, bezeichnete die vergangenen Tage als die schwierigsten seines Lebens und drückte seine Trauer um die betroffenen Benutzer aus.
„Ich musste Zeit mit meinem neugeborenen Sohn opfern“, schrieb Bentley auf Twitter. „Ich werde den Angreifern nie verzeihen, aber sie können ihre Fehler korrigieren und die Gelder so schnell wie möglich an das EulerDAO-Finanzministerium zurückgeben.“
Bildquelle: Instagram @federicojaimeok
Federico Jaime behauptet, er habe nie vorgehabt, das Geld zu behalten. „Ich wusste von Anfang an, dass 200 Millionen Dollar keine kleine Zahl sind und der DeFi-Community großen Schaden zufügen würden, was überhaupt nicht mein Ziel war.“
Wir alle fragen uns, ob Federico, wenn auch nur für einen Moment, jemals darüber nachgedacht hat, was man für 200 Millionen Dollar kaufen könnte, und sich vorgestellt hat, in einer Villa zu leben? Auf einer Yacht?
„Niemals, überhaupt nicht, weil ich Unternehmer bin. Ich kann vollkommen legal Geld verdienen, ich muss nicht stehlen, ich habe keinen Grund, das Geld anderer Leute zu nehmen.“
Bei den meisten Menschen würden solche Kommentare bestenfalls ein Augenrollen hervorrufen. Schließlich ist die Krypto-Community nicht für ihre Bescheidenheit bekannt. Aber ich habe Bilder von Federico gesehen, wie er durch Europa reist, in Fünf-Sterne-Hotels übernachtet und Designer-Streetwear trägt. In unseren Telefongesprächen und gelegentlichen SMS-Nachrichten fragte ich Federico, der im Juni 20 Jahre alt wird, wie er seinen Lebensstil beibehält.
Federico wuchs mit seinen Eltern und seiner jüngeren Schwester in Buenos Aires auf. Inspiriert von seinem Vater, einem Softwareentwickler, lernte er im Alter von 12 Jahren das Programmieren und verkaufte im Alter von 14 Jahren sein erstes Programm, ein Plug-in für das Videospiel Minecraft, für 10.000 US-Dollar. „Es bedeutet Freiheit, weil ich meine Eltern nicht mehr um Geld bitten muss und sie mir applaudieren.“
Als er erwachsen wurde, wechselte Federico zu einem neuen Spiel, Grand Theft Auto V, und entwickelte ein Anti-Cheat-System für einen benutzerdefinierten Multiplayer-Server, der von eingefleischten Fans des Spiels betrieben wurde. „Ich habe einen Speicherlesefehler gefunden. Ich habe gesehen, dass wir damit Geld verdienen können“, sagte Federico und fügte hinzu, dass die Software FiveGuard jetzt jemand anderem gehört. „Es ist etwas Besonderes, denn wenn man mit einem unfairen Vorteil auf einen Spieleserver gelangt, wird man sofort gesperrt.“
Federico hatte ursprünglich vor, in Argentinien ein Jurastudium zu absolvieren, doch nach seinem Abschluss im Jahr 2020 und dem Umgang mit der COVID-19-Pandemie (mit vielen lokalen Einschränkungen und langen Quarantänezeiten in Buenos Aires) beschloss Federico mit Erlaubnis seiner Eltern, ein Jurastudium zu absolvieren langer Urlaub vor Beginn des Studiums.
Federico reiste Anfang Oktober letzten Jahres nach Rom. Im Dezember soll er Buenbit, eine in Argentinien, Mexiko und Peru tätige Handelsplattform für Kryptowährungen, ins Visier genommen und Hunderttausende Dollar gestohlen haben. Federico Ogue, CEO von Buenbit, bezeichnete den Angriff als Betrug. Nachrichtenberichte unter Berufung auf Polizeiquellen beziffern den Schaden durch den Angriff auf 800.000 US-Dollar, doch Federico bestritt diese Zahl.
Federico äußerte sich nicht zu den Einzelheiten des Falles, und obwohl er zugab, dass er es auf Buenbit abgesehen hatte, behauptete er gleichzeitig, dass viele der feineren Details in Medienberichten entweder irreführend oder völlig erfunden seien. Der 20-Jährige beteuert in dem Fall seine Unschuld und weist darauf hin, dass er und seine Anwälte mit Buenbits Team in Kontakt stehen und er hofft, dass die Angelegenheit bald geklärt wird.
Und nur wenige Monate später hatte Federico neue Sorgen, dieses Mal 200 Millionen Dollar.
Bildquelle: Instagram @federicojaimeok
Euler Finance hatte zum Zeitpunkt des Angriffs bis zu 7.000 Benutzer. Zwei Tage später, am 15. März, beschloss eines der Opfer, eine Nachricht an die Wallet des Hackers (Federicos Wallet) zu senden.
„Bitte erwägen Sie eine Rückgabe von 90 %, 80 %. Ich bin ein Benutzer, der nur 78 wstETH hat und meine Ersparnisse bei Euler hinterlegt hat. Ich bin kein Wal oder Millionär, dass der Benutzer ein Argentinier namens Santiago Avalos Blockchain ist.“ Entwickler, schrieb er. „Sie können sich nicht vorstellen, in welchem Chaos ich mich jetzt befinde, völlig am Boden zerstört … Ihre Entscheidung wird für die vielen Betroffenen eine große Erleichterung sein.“
Die Ersparnisse von Avalos in Höhe von 78 wstETH waren damals über 140.000 US-Dollar wert. Dreizehn Stunden nachdem Avalos die Nachricht gesendet hatte, antwortete Federico, jedoch nicht per SMS. Stattdessen schickte Federico in seinem ersten Schritt seit dem Hack vor drei Tagen 100 ETH an Avalos, etwa 27.000 US-Dollar mehr als der Wert, den die Opfer durch den Euler-Absturz verloren hatten. Avalos überwies die zusätzlichen Mittel an Euler zurück und sagte: „Ich glaube, er war möglicherweise von meiner Show beeindruckt.“
„Es war eine Herzensangelegenheit“, sagte Federico über seine Motivation, die Gelder zurückzugeben. „Ich war großzügig. Außerdem fand ich später heraus, dass dieser Typ … ebenfalls Argentinier und Solidity-Entwickler war“, fügte er hinzu. „Das ist in der Tat ein sehr interessanter Zufall.“
Federico hat den Geldtransfer noch nicht abgeschlossen. In Kombination mit der Tatsache, dass er sich insgesamt zweimal 1.100 ETH über Tornado Cash geschickt hat, beläuft sich sein Verdienst auf fast 2 Millionen US-Dollar. Als ich ihn nach dem Grund fragte, antwortete mir Federico: „Ich habe mir nicht viel dabei gedacht. Ich dachte, wenn sie mir 10 Prozent des Kopfgeldes geben würden, wäre das zu viel für mich. Ich würde versuchen, 1 Prozent davon zu nehmen.“ "
Sein nächster Schritt ist bei weitem der verwirrendste. Am 17. März, kurz vor 5 Uhr morgens, schickte Federico weitere 100 ETH, dieses Mal an eine berüchtigte Wallet, die ein Jahr zuvor einen der größten Kryptowährungs-Hacks der Geschichte durchgeführt hatte – von der Ronin Bridge über 600 Millionen Dollar. Nur einen Monat später brachte das Office of Foreign Assets and Control (OFAC) des US-Finanzministeriums den Bruch der Ronin-Brücke offiziell mit der nordkoreanischen Lazarus-Gruppe in Verbindung.
Doch als ich ihn danach fragte, schockierte mich seine Erklärung. „Ich hatte keine Ahnung, dass das Nordkorea ist. Ich habe nie daran gezweifelt“, begann er. „Der Grund, warum ich 100 ETH an den Ronin-Exploiter geschickt habe, war reine Bewunderung … Ich denke, von White-Hat-Hackern bis hin zu Black-Hat-Hackern wollte ich meine Bewunderung zum Ausdruck bringen.“
Ich war fassungslos und Federico konnte es auch sehen. „Ich weiß, dass du nicht erwartet hast, dass ich das sage, aber es ist wahr“, antwortete er. „Ich denke, das ist heute der wichtigste Bereich der Welt, und der Ronin-Hack war ein technischer Akt. In diesem Sinne ist es bewundernswert … Teufel können schöne Frauen sein.“
Am nächsten Tag begann Federico mit der Rückzahlung der Gelder, zunächst in drei Tranchen zu je 1.000 ETH, was damals einem Gesamtwert von etwa 5,4 Millionen US-Dollar entsprach. Dann wurde seine Brieftasche wieder gesperrt. Damals äußerten Analysten Zweifel daran, dass Euler in der Lage sein würde, die verbleibenden Mittel zurückzubekommen.
Doch zwei Tage später, am 20. März, schickte Federico seine erste Nachricht an das Euler-Team: „Wir wollen es allen Betroffenen leicht machen. Keine Absicht, Dinge zu behalten, die uns nicht gehören. Richten Sie sichere Kommunikation ein. Lasst uns loslegen.“ ein Geschäft machen."
Federico gab zu, dass die Nachricht etwas spät kam: „Ich habe versucht zu entscheiden, ob es eine gute Idee ist, die 20 Millionen Dollar in meinen eigenen Händen zu behalten … denn das hat mir Euler angeboten“, sagte er. „Ich war definitiv unvorbereitet, unerfahren und neu … Ich habe tage- und wochenlang nicht geschlafen, aber letztendlich wusste ich, dass ich es zurückgeben musste, und ich wusste, dass ich Eulers Benutzerbasis keinen Schaden zufügen wollte.“ . "
Dennoch ließ sich Federico Zeit, das Geld zurückzuzahlen. Am 25. März gegen 15 Uhr erschienen zum ersten Mal 81.953 ETH (ca. 143 Millionen US-Dollar). Dann, am 27., folgte ein DAI in Höhe von 10 Millionen US-Dollar. Am 28. um 3 Uhr morgens entschuldigte sich Federico öffentlich und sagte: „Ich habe es vermasselt. Ich wollte es nicht, aber ich habe das Geld anderer Leute, die Arbeit anderer Leute, das Leben anderer Leute gestört … Bitte verzeihen Sie mir.“ Die Gelder befanden sich zu diesem Zeitpunkt noch unter seiner Kontrolle.
Schließlich verkündete das Euler-Team am 3. April voller Begeisterung, dass nach den letzten Transaktionen des Hackers alle „rückgewinnbaren Gelder“ zurückgegeben worden seien. Euler widerrief auch offiziell das auf Federicos Kopf ausgesetzte Kopfgeld in Höhe von 1 Million US-Dollar. Federico atmete erleichtert auf, dass es vorbei war.
Dann, zweieinhalb Monate später, wurde Federicos Wallet wieder aktiv und schickte Nachrichten an sich selbst. Der erste, am 17. Juni, bestand nur aus zwei Worten: „Ben yre“ – Buenos Aires. Siebzehn Minuten später wurde eine weitere Nachricht, ebenfalls auf Spanisch, an die Wallet gesendet, in der behauptet wurde, er sei Argentinier, Peronist und White-Hat-Hacker. Der Rat der Nachricht an andere Hacker: „Seien Sie nicht dumm, stehlen Sie nicht, verdienen Sie sich das Kopfgeld.“
Am Ende der Nachricht verlinkt das Wallet auf einen Instagram-Account – @federicojaimeok. Ich habe ihm eine private Nachricht geschickt. Wir begannen mit dem Gespräch auf Instagram, wo Federicos Geschichten ab September 2022 archiviert sind, und sprachen dann über Telegram. Während unseres Gesprächs stimmte alles, was dieser Mann mir erzählte, mit dem überein, was ich aus anderen Quellen über Federico erfahren hatte. Federico gab mir auch die Telefonnummer seines Vaters, der seine Identität und Beziehung zu Federico bestätigte, und lieferte mir weitere Beweise, die mit dem übereinstimmten, was Federico mir erzählte.
Federico erzählte mir, dass er sich entschieden habe, nicht zu seinem eigenen Vorteil aufzutauchen, sondern zum Wohle der DeFi-Community. „Ich möchte ethisches Hacken fördern, das ist der Hauptgrund, und ich möchte in der Lage sein, eine Stimme zu sein und den Menschen zu sagen, sie sollen das Richtige tun.“
Federico hofft auch, dass Eulers Verhandlungsstrategie mit Angreifern einen Präzedenzfall für den Rest von DeFi schaffen wird. Er sagte: „Ich bin sicher, dass die Hacking-Szene im dezentralen Finanzwesen nach dem Euler-Hack anders sein wird. Ich denke, er hat der Welt gezeigt, wie wichtig die Wirtschaftsprüfung und die Verhandlungen nach einem Hack sind.“
Erin Plante, VP of Investigations bei Chainalysis, sagte: „Allerdings ist nicht jeder im Kryptowährungsbereich begeistert davon, dass Bug-Bounties und Hacking-Verhandlungen zur Norm werden.“ , aber oft 50 % oder mehr der gesamten gestohlenen Gelder als Provision zu verlangen, kommt eher einer Erpressung gleich.“
Plante wies auch darauf hin, dass es für Hacker immer schwieriger wird, sich ihre Gewinne auszuzahlen, je besser die Strafverfolgungsbehörden illegale Kryptowährungen aufspüren können. „In diesem Zusammenhang und in Verbindung mit dem kollektiven Rückgang der Kopfgelder in der gesamten Branche werden sich die Anreize für Hacker, diese Arbeit zu verrichten, hoffentlich ändern“, sagte sie.
Federico hat mir gegenüber wiederholt darauf bestanden, dass sein Plan von Anfang an darin bestand, die Gelder zurückzugeben. Warum hat er also drei Wochen gebraucht?
„Ich möchte Zeit haben, mich zu schützen und Wege zu finden, um rechtlich und anderweitig sicher zu sein“, sagte er.
Natürlich können einige von Federicos Behauptungen nicht überprüft werden. Federico erzählte mir, dass der Entwurf und die Ausführung des Protokolls ausschließlich seine Aufgabe seien („Ich habe alles selbst gemacht“), obwohl er gelegentlich Ratschläge von einem Kollegen einholen würde, beispielsweise eine Liste der DeFi-Protokolle, die er prüfen sollte (das ist eher Like). Verschleierung der Beteiligung anderer, da es keine Möglichkeit gibt, anhand der uns vorliegenden On-Chain-Daten festzustellen, wer den Code geschrieben hat.
Wir werden auch nie erfahren, ob Federico das Geld behalten hätte, wenn er den Angriff besser geplant hätte. Er gab mir gegenüber zu, dass er es bereute, nicht an die Konsequenzen gedacht zu haben, sagte aber, es gehe nur darum, das Richtige zu tun. „Ich habe einfach nicht genug geplant und der Betrag war zu groß für mich“, sagte er.
Federico sagte mir, er bedauere den Schmerz, den er Eulers Team zugefügt habe. „Als ich Michael Bentleys Tweet sah, in dem er sagte, er müsse die Zeit mit seiner Familie opfern, brach es mir das Herz“, sagte er. Als ich ihn fragte, ob er sich Sorgen über die zukünftigen Auswirkungen des Angriffs mache, wies er diese Bedenken zurück. „Ich glaube, dass das Euler-Team den Fall rechtlich gesehen später nicht weiterverfolgen wird, weil dies künftige Hacker daran hindern wird, die Gelder zurückzugeben.“
Euler Finance begann am 12. April, die Opfer des Angriffs zu entschädigen, sehr zur Freude (und fast zum Unglauben) der Opfer. Die Auswirkungen der Sicherheitslücke haben sich auf 11 weitere DeFi-Protokolle ausgeweitet. Eines davon (Yield Protocol) wurde erst am 27. Juni wieder aufgenommen. Euler Finance ist seit dem Hack lahmgelegt.
Federico, der sich immer noch in Europa aufhält, beschreibt seine persönliche Situation als „kompliziert“, sagt aber, er hoffe, bald nach Buenos Aires zurückkehren zu können, um sein Studium fortzusetzen. „Seit dem Euler-Hack war mein Leben nicht einfach und es hat mich gestresst.“
Ich fragte Federico, ob er glaube, dass Gott ihm scheinbar als Antwort auf seine Gebete eine Lektion erteilen würde. „Ich glaube, er spielt entweder mit mir oder testet mich“, antwortete er.
Federico hat sich noch nicht entschieden.
(Der obige Inhalt ist Auszug und Nachdruck mit Genehmigung des Partners MarsBit, Originaltextlink | Quelle: Rhythm)
Erklärung: Der Artikel gibt nur die persönlichen Ansichten und Meinungen des Autors wieder und gibt nicht die objektiven Ansichten und Positionen der Blockchain wieder. Alle Inhalte und Meinungen dienen nur als Referenz und stellen keine Anlageberatung dar. Anleger sollten ihre eigenen Entscheidungen und Transaktionen treffen, und der Autor und der Blockchain-Kunde haften nicht für direkte oder indirekte Verluste, die durch die Transaktionen der Anleger verursacht werden.
Dieser Artikel des 19-jährigen Euler-Hackers: Es dauerte nur 18 Minuten, 200 Millionen Dollar zu stehlen, und er gab alles nach dreiwöchigem Zögern zurück. Er erschien erstmals auf Blockchain.