Hacker Euler de 19 anos: roubou US$ 200 milhões em apenas 18 minutos e devolveu tudo após 3 semanas de hesitação

Fonte original: Moeda
Compilado por: Ritmo
Em apenas 18 minutos, em 13 de março de 2023, um hacker roubou quase US$ 200 milhões em criptomoedas da Euler Finance, uma plataforma de empréstimo popular, no maior roubo do ano. Apenas três semanas depois, ele reverteu a transação e devolveu todos os bens roubados.
Pela primeira vez desde o roubo, o hacker se apresentou para relatar o incidente e alegou que não tinha intenção de ficar com os fundos.
A Coinage conversou com o homem que afirma ser o hacker, um jovem argentino chamado Federico Jaime, uma afirmação que é apoiada por outras evidências significativas. Esta é a história dele.
Fonte da imagem: Instagram @federicojaimeok
Numa noite fria de março em Roma, por volta das 3 da manhã, Federico estava do lado de fora de um bar, esperando amigos e conversando com Deus. O argentino de 19 anos procurou algo no último mês, mas ainda não encontrou. Ele queria saber por quê.
“Nossa, se todos os meus projetos são concluídos em um mês, por que não este?”, pensou, olhando para o céu. "Por que você me ouviu antes, mas não agora?" Ainda levaria várias horas antes que ele pudesse retornar ao hotel.
Quando finalmente chegou em casa, não conseguiu dormir, como sempre. Então, ele decidiu ir trabalhar.
As orações de Federico foram respondidas quase imediatamente, talvez profeticamente. Ele descobriu o que procurava: uma vulnerabilidade no código de um programa de empréstimo de criptomoedas. Ele imediatamente começou a explorar sua descoberta.
“Quando trabalho, trabalho como um artista, como um escritor”, disse-me Federico mais tarde ao telefone em inglês, sua segunda língua. “A falta de sono é uma coisa boa para despertar a musa.”
Federico não conseguiu dormir nos dois dias seguintes. Quando ele finalmente acordou em uma cama de hospital na Itália, ele estava US$ 200 milhões mais rico, mas sentiu como se uma maldição estivesse estampada em suas costas.
Fonte da imagem: Instagram @federicojaimeok
O mundo das criptomoedas depende da transparência. Cada transação – enviar dinheiro a um amigo, comprar um NFT, contrair um empréstimo – é pública e irreversível. Os aplicativos executados no blockchain (chamados de contratos inteligentes) também são públicos; qualquer pessoa pode inspecionar o código por conta própria.
À medida que o interesse pelas criptomoedas aumentou nos últimos anos, também aumentou toda uma indústria de aplicações financeiras descentralizadas que permitem aos investidores em criptomoedas trocar tokens, obter empréstimos, fazer apostas alavancadas em movimentos de preços e ganhar juros. Existem atualmente aproximadamente US$ 45 bilhões em criptomoedas comprometidas com protocolos DeFi. No outono de 2021, esse número ultrapassou US$ 175 bilhões, aproximadamente o equivalente a todo o valor do depósito detido pelo Morgan Stanley;
DeFi oferece aos entusiastas das criptomoedas inovações financeiras emocionantes que se alinham com o rápido desenvolvimento e a regulamentação flexível do espaço das criptomoedas. Se você deseja emprestar US$ 200 milhões sem garantia ou especular sobre criptomoedas “meme” como DOGE e PEPE, DeFi é a única opção.
Enquanto isso, os hackers veem o DeFi como uma variedade de cofres bancários digitais, cada um com um projeto público (o código é de código aberto), na verdade, um convite para alguém tentar realizar um assalto. De acordo com a empresa de pesquisa de criptomoedas Chainaanálise, os protocolos DeFi se tornaram o principal alvo dos hackers de criptomoedas, que roubaram US$ 2,2 bilhões do DeFi em 2021 e US$ 3,1 bilhões em 2022, representando 80% do total de criptomoedas roubadas naquele ano.
O hacker de criptomoeda mais bem-sucedido até o momento é o Grupo Lazarus, e dos US$ 1,7 bilhão roubados pelo Lazarus em 2022, US$ 1,1 bilhão vieram de vulnerabilidades DeFi.
Diante de ataques intermináveis, os protocolos DeFi responderam recrutando empresas de segurança para auditar contratos inteligentes, monitorar ameaças e até mesmo atrair hackers de chapéu branco (hackers que sinalizam vulnerabilidades em troca de recompensas, em vez de hackers de chapéu preto que as exploram). Roubando vulnerabilidades para você mesmo. Mesmo os protocolos DeFi que são rigorosamente verificados e que tomam todas as precauções ainda podem ser vítimas de um hacker poderoso, e esse invasor às vezes é apenas um garoto de 19 anos com Deus ao seu lado.
Fonte da imagem: Instagram @federicojaimeok
Tudo isso pode ser evitado com uma única linha de código.
De volta ao hotel, enquanto o sol nascia sobre Roma, Federico começou a estudar um protocolo de empréstimo DeFi chamado Euler Finance, desenvolvido pela startup londrina Euler Labs. Euler permite que seus usuários retirem até dez vezes o valor da garantia depositada; invistam US$ 10.000 e você poderá negociar como se fossem US$ 100.000. Mas as criptomoedas são voláteis e os depósitos dos utilizadores podem não ser suficientes para garantir o resgate das suas garantias se o preço se mover mal. É por isso que cada vez que um usuário interage com Euler, a plataforma verifica a saúde de sua conta e aciona a liquidação automática se a pontuação de saúde for muito baixa.
Mas Federico viu algo que não existia: faltava um exame de saúde para uma única função em um único contrato inteligente de Euler. Em apenas algumas horas de pesquisa, Federico descobriu o que a equipe de Euler e vários auditores independentes de contratos inteligentes haviam perdido.
“É simplesmente inspiração divina. Está apenas despertando minha musa”, disse Federico. "Literalmente, depois de um mês procurando o que procurava... encontrei."
Federico começa a planejar seu ataque. No dia 13 de março, após dois dias de programação sem dormir, ele estava quase pronto para executar. O único problema era: ele não tinha ideia de como implantar o contrato inteligente ou de quanto custaria.
"Eu estava pesquisando no Google quanto custa implantar um contrato inteligente? E encontrei... artigos que diziam algo entre US$ 5.000 e US$ 50.000", disse Federico, aumentando a voz em resposta à descrença que sentia. "WTF"
Mas Federico continuou e acabou descobrindo que os custos reais de implantação do contrato eram muito mais baixos. A essa altura, poucos dias depois de ter dormido pela última vez, Federico me disse que não estava pensando em dinheiro. “Acho que é um experimento. Apenas um experimento”, explicou ele. "Não tenho certeza se vai funcionar... não tenho certeza se posso implantar um contrato inteligente. Tenho mais dúvidas do que certezas."
“Então eu realmente subestimei a vulnerabilidade e a mim mesmo porque acabou funcionando”, acrescentou.
Na manhã do dia 13 de março de 2023, às 9h54, horário italiano, Federico sentou-se em frente ao computador. No espaço de 18 minutos, as três carteiras que ele usou para lançar o ataque à Euler Finance roubaram US$ 197 milhões em criptomoedas do protocolo. Todos os fundos acabaram em uma carteira – uma mochila virtual cheia de pilhas de notas de cem dólares.
"Em primeiro lugar, pensei, isso é tão emocionante. Fechei um grande negócio e depois pensei, uau, US$ 200 milhões. Isso é uma maldição nas minhas costas."
Ainda sem conseguir dormir, Federico pediu ao concierge do hotel que chamasse uma ambulância.
Fonte da imagem: Instagram @federicojaimeok
Os primeiros a notar anomalias foram os bots, e várias empresas de segurança criptográfica fornecem monitoramento de ameaças e alertas em tempo real para projetos DeFi. No caso do hack da Euler, pelo menos duas empresas de segurança, Forta e Hypernative, foram alertadas antes do início do ataque.
Infelizmente para o Euler Labs, que se recusou a comentar este artigo, o alerta automatizado foi enviado poucos minutos antes do início do ataque, tornando muito cedo para a startup com sede em Londres proteger o protocolo. (“O tempo que prevemos um ataque geralmente varia de um minuto a uma hora”, diz Alex Behrens, gerente de marketing da Forta.)
Às 8h59 de segunda-feira, 11 de março, horário do Reino Unido, a empresa de segurança blockchain PeckShield postou na mídia social "Olá @eulerfinance: você pode querer dar uma olhada" e vinculado a uma página mostrando que a carteira havia atacado o fornecimento de stablecoin DAI de Euler , mais de US$ 8,7 milhões em fundos roubados.
Então, todos assistiram Euler ser atingido repetidas vezes. O hacker roubou US$ 18,5 milhões em WBTC, depois US$ 116 milhões em stETH... No final das contas, o hacker obteve um lucro de US$ 197 milhões e toda a reserva de 6 tokens de Euler foi eliminada.
“Estamos cientes de que nossas equipes estão atualmente trabalhando com profissionais de segurança e autoridades policiais. Divulgaremos mais informações assim que as tivermos”, disse Euler nas redes sociais às 9h56, citando PeckShield.
Por se tratar de criptomoeda, todos podem ver os fundos na carteira do hacker. Ao observar as transações da carteira, os especialistas em segurança conseguiram fazer engenharia reversa do ataque e, finalmente, descobrir a única vulnerabilidade que levou ao roubo. Mas, novamente, por se tratar de criptomoeda, a equipe de Euler não tem como vincular a carteira a uma identidade da vida real ou compreender as intenções do hacker.
O ato final do hacker em 13 de março foi enviar 100 ETH (no valor de US$ 168.000 na época) via Tornado Cash, um protocolo de transação “híbrido” no Ethereum que torna os fundos mais difíceis de rastrear. Então o endereço da carteira ficou em silêncio.
Às 10h47 daquela noite, a equipe Euler enviou uma mensagem para a carteira do hacker dizendo: "Entendemos que você é responsável pelo ataque à plataforma Euler esta manhã. Estamos escrevendo para ver se você está disposto a discutir qualquer possível próximo caminha conosco. "Esta tentativa de comunicação marca o início de três semanas difíceis para a equipe Euler.
Às 21h22 do dia seguinte, a equipe de Euler enviou outra mensagem para a carteira do hacker, oferecendo a devolução de 90% dos fundos roubados em 24 horas – permitindo que o hacker ficasse com a recompensa de fato de US$ 20 milhões pelo bug. Caso contrário, Euler está oferecendo uma recompensa de US$ 1 milhão a qualquer pessoa com informações sobre o hack.
O hacker não respondeu.
Às 11h20 do dia 15 de março, a equipe de Euler enviou outra mensagem para a carteira do hacker, reiterando sua oferta anterior de recompensa por bug. “A investigação pode então ser interrompida e o foco pode voltar-se para a sua distribuição aos utilizadores do protocolo sem ter de passar pelos canais legais”, escreveu a equipa de Euler.
Às 10h06 daquela noite, após o silêncio contínuo do hacker, a equipe de Euler anunciou uma recompensa de US$ 1 milhão por informações que levassem à prisão do hacker e à recuperação dos fundos. No dia seguinte, o cofundador e CEO da Euler, Dr. Michael Bentley, compartilhou sua resposta ao ataque, chamando os dias anteriores de os mais difíceis de sua vida e expressando sua tristeza pelos usuários afetados.
“Tive que sacrificar o tempo com meu filho recém-nascido”, escreveu Bentley no Twitter. “Nunca perdoarei os agressores, mas eles podem corrigir seus erros e devolver os fundos ao Tesouro EulerDAO o mais rápido possível.”
Fonte da imagem: Instagram @federicojaimeok
Federico Jaime afirma que nunca teve a intenção de ficar com o dinheiro. “Eu sabia desde o início que US$ 200 milhões não era um número pequeno e causaria enormes danos à comunidade DeFi, o que não era de forma alguma meu objetivo.”
Todos nos perguntamos, mesmo que por um momento, será que Federico alguma vez pensou no que 200 milhões de dólares poderia comprar, imaginou-se a viver numa mansão? Em um iate?
“Nunca, de jeito nenhum, porque sou empresário. Posso ganhar dinheiro legalmente, perfeitamente, não preciso roubar, não tenho motivos para pegar o dinheiro dos outros.”
Para a maioria das pessoas, esses comentários provocariam, na melhor das hipóteses, uma reviravolta. Afinal, a comunidade criptográfica não é conhecida pela sua humildade. Mas já vi fotos de Federico viajando pela Europa, hospedado em hotéis cinco estrelas e vestindo roupas de grife. Em nossas conversas por telefone e ocasionais mensagens de texto, perguntei a Federico, que completa 20 anos em junho, como ele mantém seu estilo de vida.
Federico cresceu em Buenos Aires com os pais e a irmã mais nova. Inspirado por seu pai, um engenheiro de software, ele aprendeu a programar aos 12 anos e vendeu seu primeiro programa, um plug-in para o videogame Minecraft, por US$ 10 mil aos 14 anos. “Significa liberdade porque não preciso mais pedir dinheiro aos meus pais e eles me aplaudem.”
Quando cresceu, Federico mudou para um novo jogo, Grand Theft Auto V, e desenvolveu um sistema anti-cheat para um servidor multijogador personalizado administrado por fãs obstinados do jogo. “Encontrei um bug de leitura de memória. Vi que poderíamos ganhar dinheiro com isso”, disse Federico, acrescentando que o software FiveGuard agora pertence a outra pessoa. “É especial porque quando você entra em um servidor de jogo com algum tipo de vantagem injusta, você é imediatamente banido.”
Federico planejou originalmente cursar Direito na Argentina, mas depois de se formar em 2020 e lidar com a pandemia de COVID-19 (com muitas restrições locais e longos períodos de quarentena em Buenos Aires), Federico decidiu, com a permissão de seus pais, fazer um curso de Direito. longas férias antes de começar a faculdade.
Federico viajou para Roma no início de outubro do ano passado. Em dezembro, ele supostamente atacou a Buenbit, uma plataforma de negociação de criptomoedas que opera na Argentina, no México e no Peru, e roubou centenas de milhares de dólares. O CEO da Buenbit, Federico Ogue, caracterizou o ataque como uma fraude. Reportagens citando fontes policiais estimam os danos do ataque em US$ 800 mil, mas Federico negou esse valor.
Federico não quis comentar os detalhes do caso e, embora reconhecesse que tinha como alvo Buenbit, afirmou da mesma forma que muitos dos detalhes mais sutis nas reportagens da mídia eram enganosos ou completamente fabricados. O jovem de 20 anos mantém a sua inocência no caso, lembrando que ele e os seus advogados estão em contacto com a equipa de Buenbit e que espera que o assunto seja resolvido em breve.
E, apenas alguns meses depois, Federico tinha novas preocupações, desta vez US$ 200 milhões.
Fonte da imagem: Instagram @federicojaimeok
A Euler Finance tinha até 7.000 usuários no momento do ataque. Dois dias depois, no dia 15 de março, uma das vítimas decidiu enviar uma mensagem para a carteira do hacker (carteira de Federico).
"Por favor, considere devolver 90%, 80%. Sou um usuário que tem apenas 78 wstETH e depositou minhas economias em Euler. Não sou uma baleia nem um milionário. DL News confirmou que o usuário é um argentino chamado Santiago Avalos Blockchain." desenvolvedor, ele escreveu. “Você não pode imaginar o caos em que estou agora, completamente devastado... Sua decisão será um grande alívio para muitas pessoas afetadas.”
As economias de 78 wstETH de Avalos valiam mais de US$ 140.000 na época. Treze horas depois de Avalos enviar a mensagem, Federico respondeu, mas não por mensagem de texto. Em vez disso, em seu primeiro movimento desde o hack, três dias atrás, Federico enviou 100 ETH para Avalos, cerca de US$ 27.000 a mais do que o valor que as vítimas perderam na queda de Euler. Avalos transferiu os fundos extras de volta para Euler, dizendo: "Acredito que ele pode ter ficado impressionado com meu programa."
“Foi uma decisão sincera”, disse Federico sobre a sua motivação para devolver os fundos. "Eu estava sendo generoso. Além disso, mais tarde descobri que esse cara... também era argentino e desenvolvedor do Solidity", acrescentou. "Esta é realmente uma coincidência muito interessante."
Federico ainda não concluiu a transferência de fundos. Combinado com o fato de que ele enviou para si mesmo 1.100 ETH cumulativos via Tornado Cash duas vezes, elevando seus ganhos para quase US$ 2 milhões. Quando perguntei por quê, Federico me disse: "Não pensei muito nisso. Achei que se me dessem 10% da recompensa seria demais para mim. Tentaria ficar com 1% dela. "
Seu próximo passo é de longe o mais confuso. Em 17 de março, pouco antes das 5h, Federico enviou outros 100 ETH, desta vez para uma carteira notória que havia realizado um dos maiores hacks de criptomoedas da história um ano antes - de Ronin Bridge roubou mais de US$ 600 milhões. Apenas um mês depois, o Gabinete de Activos e Controlo Estrangeiros (OFAC) do Departamento do Tesouro dos EUA ligou oficialmente a violação da Ponte Ronin ao Grupo Lazarus da Coreia do Norte.
No entanto, quando perguntei a ele sobre isso, sua explicação me chocou. “Eu não tinha ideia de que era a Coreia do Norte. Nunca duvidei disso”, começou ele. “A razão pela qual enviei 100 ETH para o explorador Ronin foi puramente por admiração... Acho que, de hackers de chapéu branco a hackers de chapéu preto, queria expressar minha admiração.”
Fiquei atordoado e Federico também percebeu. "Eu sei que você não esperava que eu dissesse isso, mas é verdade", respondeu ele. "Acho que esta é a área mais importante do mundo hoje, e o hack do Ronin foi um ato de engenharia. Nesse sentido, é admirável... Os demônios podem ser mulheres bonitas."
No dia seguinte, Federico começou a devolver os fundos, inicialmente em três parcelas de 1.000 ETH cada, totalizando cerca de US$ 5,4 milhões na época. Então sua carteira ficou inativa novamente. Os analistas da época expressaram dúvidas de que Euler conseguiria recuperar os fundos restantes.
Mas dois dias depois, em 20 de março, Federico enviou sua primeira mensagem à equipe de Euler: “Queremos facilitar as coisas para todos os afetados. faça um acordo.”
Federico admitiu que a notícia chegou um pouco tarde: "Eu estava tentando decidir se era uma boa ideia manter os US$ 20 milhões em minhas próprias mãos... porque foi isso que Euler me ofereceu", disse ele. "Eu estava definitivamente despreparado, inexperiente e novo... Não dormi por dias, semanas, mas, no final das contas, sabia que tinha que devolvê-lo e sabia que não queria causar nenhum dano à base de usuários de Euler .
Mesmo assim, Federico demorou a devolver os fundos. Por volta das 15h do dia 25 de março, 81.953 ETH (aproximadamente US$ 143 milhões) apareceram pela primeira vez. Então, no dia 27, seguiram-se US$ 10 milhões em DAI. Às 3 da manhã do dia 28, Federico pediu desculpas publicamente, dizendo: "Eu errei. Não queria, mas atrapalhei o dinheiro de outras pessoas, o trabalho de outras pessoas, a vida de outras pessoas... Por favor, perdoe-me, no entanto, alguns." os fundos ainda estavam lá sob seu controle.
Finalmente, em 3 de abril, a equipe de Euler anunciou com entusiasmo que, após as últimas transações do hacker, todos os “fundos recuperáveis” haviam sido devolvidos. Euler também revogou oficialmente a recompensa de US$ 1 milhão pela cabeça de Federico. Federico deu um suspiro de alívio por tudo ter acabado.
Então, dois meses e meio depois, a carteira de Federico voltou a ficar ativa, enviando mensagens para si mesmo. A primeira, em 17 de junho, continha apenas duas palavras: “Ben yre” – Buenos Aires. Dezessete minutos depois, outra mensagem foi enviada para a carteira, também em espanhol, alegando ser argentino, peronista e hacker de chapéu branco. O conselho da mensagem para outros hackers: “Não seja estúpido, não roube, ganhe a recompensa”.
Ao final da mensagem, a carteira leva a uma conta do Instagram – @federicojaimeok. Enviei-lhe uma mensagem privada. Começamos a conversar no Instagram, onde estão arquivadas as histórias de Federico de setembro de 2022, e depois conversamos via Telegram. Durante nossa conversa, tudo o que esse homem me contou correspondia ao que aprendi sobre Federico em outras fontes. Federico também me forneceu o número de telefone do seu pai, que confirmou a sua identidade e parentesco com Federico, e forneceu-me outras provas consistentes com o que Federico me contou.
Federico me disse que decidiu aparecer não para seu próprio benefício, mas para o benefício da comunidade DeFi. “Quero encorajar o hacking ético, esse é o principal motivo, e quero ser capaz de ser uma voz e dizer às pessoas para fazerem a coisa certa.”
Federico também espera que a estratégia de Euler para negociar com os invasores estabeleça um precedente a ser seguido pelo resto do DeFi. Ele disse: “Tenho certeza de que o cenário de hacking nas finanças descentralizadas será diferente após o hack de Euler. Acho que mostrou ao mundo a importância da auditoria e a importância da negociação após um hack”.
Erin Plante, vice-presidente de investigações da Chainalysis, disse: “No entanto, nem todos no setor de criptomoedas estão entusiasmados com o fato de recompensas por bugs e negociações de hackers se tornarem a norma. , mas muitas vezes pedir 50% ou mais do total de fundos roubados como comissão é mais parecido com uma extorsão."
Plante também observou que, à medida que as agências policiais melhoram no rastreamento de criptomoedas ilegais, fica mais difícil para os hackers sacarem seus ganhos. “Neste contexto, juntamente com o declínio coletivo nas recompensas em toda a indústria, espera-se que os incentivos para os hackers fazerem este trabalho mudem”, disse ela.
Federico insistiu repetidamente comigo que o seu plano desde o início era devolver os fundos. Então, por que ele demorou três semanas?
“Quero ter tempo para me proteger e encontrar maneiras de estar seguro, legalmente ou de outra forma”, disse ele.
É claro que algumas das afirmações de Federico não podem ser verificadas. Federico me disse que o design e a execução do protocolo eram inteiramente seu trabalho (“eu fiz tudo sozinho”), embora ele ocasionalmente recebesse conselhos de um colega, como uma lista de protocolos DeFi para examinar (isso é mais como mascarando o envolvimento de outras pessoas, uma vez que não há como determinar quem escreveu o código a partir dos dados on-chain que temos).
Também nunca saberemos se Federico teria ficado com o dinheiro se tivesse planejado melhor o ataque. Ele admitiu para mim que se arrependia de não ter pensado nas consequências, mas disse que era apenas para fazer a coisa certa. “Eu simplesmente não planejei o suficiente e a quantia era grande demais para eu aguentar”, disse ele.
Federico me disse que lamentava a dor que causou à equipe de Euler. “Quando vi o tweet de Michael Bentley dizendo que ele teve que sacrificar o tempo com sua família, isso partiu meu coração”, disse ele. Quando lhe perguntei se estava preocupado com as repercussões futuras do ataque, ele rejeitou a preocupação. “Acredito que, legalmente falando, a equipe de Euler não prosseguirá com o caso mais tarde porque isso impedirá que futuros hackers devolvam os fundos.”
A Euler Finance começou a compensar as vítimas do ataque em 12 de abril, para alegria (e quase descrença) das vítimas. O impacto da vulnerabilidade se espalhou para outros 11 protocolos DeFi. Um deles (Yield Protocol) só foi retomado em 27 de junho. A Euler Finance ficou paralisada desde o hack.
Federico, que ainda está na Europa, descreve sua situação pessoal como “complicada”, mas diz que espera retornar em breve a Buenos Aires para continuar seus estudos. “Desde o hack de Euler, minha vida não tem sido fácil e isso me deixou estressado.”
Perguntei a Federico se ele achava que Deus, aparentemente em resposta às suas orações, estava lhe ensinando uma lição. “Acho que ele está brincando comigo ou me testando”, respondeu ele.
Federico ainda não se decidiu.
(O conteúdo acima foi extraído e reimpresso com a autorização do parceiro MarsBit, link do texto original | Fonte: Rhythm)
Declaração: O artigo representa apenas as opiniões e opiniões pessoais do autor e não representa as visões e posições objetivas do blockchain. Todos os conteúdos e opiniões são apenas para referência e não constituem conselhos de investimento. Os investidores devem tomar suas próprias decisões e transações, e o autor e o Cliente Blockchain não serão responsabilizados por quaisquer perdas diretas ou indiretas causadas pelas transações dos investidores.
Este artigo Hacker de Euler de 19 anos: Demorou apenas 18 minutos para roubar US$ 200 milhões e ele devolveu tudo após 3 semanas de hesitação. Ele apareceu pela primeira vez no Blockchain.