Лора Шин – На шифре. Инсайдерская история криптовалютного бума (страница 76)

Через пару дней кошелек, связанный с Dexaran – базирующимся в России разработчиком Ethereum Classic, – перевел Хакеру-3 1,05 ETC. Может ли Dexaran быть хакером, совершившим этот перевод по ошибке и выдавшим себя? Dexaran согласился на интервью, но затем не ответил на четыре письма, даже когда я всего лишь спросила, зачем он слал деньги на кошелек предполагаемого хакера. В интервью со сторонником ETC он отрицал все обвинения: «Будь я хакером The DAO, зачем бы мне понадобился ICO, чтобы финансировать свою команду?»

14 ноября операции по обналичиванию проходили успешно. Но закончился этот день блокировкой одной из транзакций, как заблокировали и другую через два дня. Потеряв 5 326 ETC за три дня, хакер выбрал другую тактику: перейти на новый ETC-аккаунт, послать крипту на ShapeShift, снять на новый BTC-адрес. Переводы ETC занимали от шести до девятнадцати минут, зато каждая транзакция на ShapeShift следовала меньше чем через минуту, будто хакер пытался застать биржу врасплох и не дать ей заблокировать транзакции. Так и получилось 2, 5, 6 и 7 декабря. Но шесть попыток 9 и 11 декабря уже были пресечены.

Затем подозреваемый остановился, оставив на Хакер-2 больше 3,36 миллиона ETC (181 миллион долларов на начало октября 2021 года), а также 47 262 ETC (2,6 миллиона долларов на начало октября 2021 года) на адресе, начинающемся с 0x1b63b, и суммы поменьше – на других.

Ему удалось конвертировать 235 115 ETC (тогда – 214 тысяч долларов) в почти 282 BTC (15 миллионов на начало октября 2021 года).

Обналичивания хакера обычно проходили с 0:00 до 15:00 по Гринвичу, почти никогда – с 15:00 до 0:00, но иногда – в 22:00 и 23:00. Интернет-активность бизнесмена, его партнеров и Dexaran проходит приблизительно с 5:00 до 22:00/23:00 по Гринвичу, что пересекается с предположительным временем сна хакера. Все эти люди находятся в Европе/России, но время обналичивания сходится с азиатским графиком: например, с 9 утра до полуночи по времени Токио.

Однако сообщения хакера на ShapeShift, хоть они и полны сокращений, говорят о хорошем владении английским языком: «токенов dao все еще нет. должна пройти эта tx [транзакция]. пожалуйста пошлите хеш tx возмещения или токены dao. спасибо». Другой автор, Мэтью Лайсинг, расследовал случай хакера-подражателя, приславшего группе «Робин Гуд» записку с фразой «Разве вы тоже это делаете не для того, чтобы увидеть лучшее будущее?» Она привела Мэтью к японскому разработчику. Я не рассматривала это послание, потому что оно пришло от подражателя и было построено не совсем грамотно, отчего создавалось впечатление, что это совсем другой человек. Но, увидев часы обналичивания, я призадумалась, не погорячилась ли.

Отталкиваясь от данных Coinfirm, два моих источника увидели, что предположительный хакер послал 50 BTC на десктопный кошелек Wasabi – частный биткойн-кошелек, помогающий анонимизировать транзакции с помощью так называемого CoinJoin, когда смешиваются вместе несколько операций, что хакер и проделал несколько раз. Однако с помощью специальной технологии компания Chainalysis все-таки смогла разделить разные транзакции Wasabi и отследить их до четырех бирж. И хотя частная политика бирж обычно запрещает разглашать данные пользователей, на главном и заключительном этапе расследования работник одной биржи подтвердил моему источнику, что средства разменяли на анонимный койн Grin и сняли их на Grin-нод grin.toby,ai.

На IP-адресе этого нода также хостились ноды Bitcoin Lightning – ln.toby.ai, lnd.ln.toby.ai и так далее, и существовал он больше года, то есть это не VPN.

Хостился он на сингапурском Amazon. Через 1ML – браузер Lightning – по этому IP можно видеть нод под названием TenX.

Для тех, кто занимался криптой в июне 2017 года, это знакомое название. В том месяце, когда ICO-бум достигал первого пика, прошло ICO на 80 миллионов долларов компании TenX. CEO и соучредитель – Тоби Хёниш. И какой же у него ник на AngelList, BetaList, GitHub, Keybase, LinkedIn, Medium, Pinterest, Reddit, Stack Overflow и Twitter? @tobyai.

Его местонахождение? Сингапур.

Хотя Тоби немец и вырос в Австрии, он хорошо знает английский язык.

Транзакции по обналичиванию проходили с 8 утра до 11 вечера по сингапурскому времени.

А имейл аккаунта на той бирже – [название биржи]@toby.ai.

В мае 2016 года, когда The DAO завершало свой рекордный краудфандинг, Тоби – человек с высокими скулами, рыжевато-каштановыми волосами с залысинами и стройным атлетичным телосложением – крайне им заинтересовался. 12 мая он посоветовал по электронной почте соучредителю TenX Джулиану Хоспу («Появилась прибыльная криптосделка») шортить ETH, когда закончится краудфандинг The DAO. 17 и 18 мая на канале The DAO в Slack он завел долгий разговор, сделав минимум (смотря как считать) пятьдесят два комментария об уязвимостях The DAO, обсуждая разные аспекты кода и выясняя, что именно возможно при его нынешней структуре.

Один момент побудил его написать по электронной почте Кристофу, Лефтерису и Гриффу. Сообщение он начал с того, что готовит предложение на спонсирование от The DAO для криптокарты DAO.PAY, и добавил: «Мы провели собственную экспертизу кода The DAO и нашли несколько тревожных моментов». Он описал три возможных вектора атаки и позже описал четвертый. Кристоф ответил по пунктам, согласившись с некоторыми утверждениями, но заметив, что другие «ошибочны» или «не работают». Диалог закончился письмом Тоби: «Буду держать в курсе, если найду что-нибудь еще».

Но вместо новых писем Тоби выложил 28 мая четыре поста Medium, начав с «The DAO – голосование без риска». Второй – «The DAO – шантаж с выводом средств» – предвещал главную проблему The DAO и причину, по которой Ethereum решил провести хардфорк: если бы они его не сделали, то оставалось бы лишь два варианта – либо хакеру позволили бы обналичить награбленное, либо группа обладателей токенов DAO до конца жизни гонялась бы за ним по новым DAO-сплитам, которые тот стал бы создавать для обналичивания. «Вкратце: если попадете в DAO-контракт без большинства голосов, хакер может бесконечно блокировать все снятия средств», – писал он. В третьем посте объяснялось, как сделать это дешево.

В последнем и самом красноречивом посте, «The DAO – урок на 150 миллионов по децентрализованному управлению», говорилось, что DAO.PAY решили не делать предложение, найдя «крупные уязвимости в безопасности», и что «Slock.it преуменьшил серьезность потенциальных направлений атаки». Тоби писал: «The DAO запустилось… и мы еще ждем, когда Slock.it выложит предупреждение, что БЕЗОПАСНОГО СПОСОБА ВЫВЕСТИ СРЕДСТВА НЕТ!»

В последнем посте от 3 июня, «Объявление BlockOps: задачи по взлому блокчейнов», говорилось: «BlockOps – ваша игровая площадка, чтобы вскрывать шифры, воровать биткойны, ломать смарт-контракты и просто проверять свои познания в области безопасности». Он обещал «постить новые вызовы в сфере биткойна, эфира и веб-безопасности каждые две недели», но я не нашла доказательств, что он это делал.

Через две недели произошла атака на The DAO. На утро после атаки, в 7:18 по сингапурскому времени, Тоби затроллил Виталика, ретвитнув его пост до атаки теперь, когда уже стало известно, что в коде The DAO все-таки была уязвимость. В том твите двухнедельной давности Виталик сказал, что покупает токены DAO с момента выхода новостей об их надежности. В следующие две недели Тоби твитил против хардфорка, например: «„Слишком большой, чтобы рухнуть“, – это гарантия обрушения».

Что интересно, 5 июля, через пару недель после атаки, Тоби и Лефтерис списались в личке Reddit под темой «Контратака против темной DAO» – хотя о чем, в точности не известно, потому что Тоби удалил все свои посты в Reddit. (Джулиан помнит, как Тоби сказал, что удалил аккаунт в Reddit после ссоры с неким «идиотом» на Reddit из-за The DAO.)

Тоби написал Лефу: «Прости, что не связался первым. После того как это нашел, увлекся тем, что рассказывал сообществу, что есть способ дать отпор. В любом случае не представляю, как хакер может этим воспользоваться».

Когда Лефтерис рассказал Тоби о планах RHG защищать оставшееся в The DAO, Тоби ответил: «Я убрал свой пост». Лефтерис ответил: «Теперь буду держать тебя в курсе того, что мы делаем». Последнее сообщение Тоби в этом диалоге: «Прости, если испортил план».

24 июля, на следующий день после возрождения блокчейна Ethereum Classic и начала торгов на Poloniex, Тоби твитнул: «Драма Ethereum накаляется: от #daowars до #chainwars. Теперь Ethereum Classic торгуется на Poloniex, а $ETC и майнеры планируют атаки». 26 июля он ретвитнул объявление Барри Сильберта: «Купил свою первую небиткойновую цифровую валюту… Ethereum Classic (ETC)».

Услышав имя Тоби Хёниша и еще не зная, что улики указывают на него, Лефтерис тут же сказал: «Он был такой наглый… Все твердил, что нашел кучу проблем». Лефтерис, считавший проблемы всего лишь досадной помехой, а не чем-то по-настоящему серьезным, никогда не встречался с Тоби лично и составил свое впечатление по фотографиям. «Какой-то самовлюбленный», – сказал Лефтерис, добавив, что его первая реакция на имя: «О боже, только не это, я его просто ненавидел».