Kripto topluluğu Salı günü Web 3 tarihinin en büyük hack’lerinden biri olan şeyle sarsıldı: Ronin’den fon çeken 625 milyon dolarlık bir istismar, çılgınca popüler olan Axie Infinity oyna-kazan oyununa ev sahipliği yapan blok zinciri.
Bununla birlikte, göze çarpan miktara rağmen, uzmanlar bir dizi röportajda CoinDesk’e saldırganın asla ulaşamayacağını söyledi. haksız kazançlarının tadını çıkar.
Salı günü, Axie geliştiricisi Sky Mavis bir blog gönderisinde istismarın 173.000’in üzerinde ETH ve 25.5 milyon dolar kayıpla sonuçlandığını duyurdu. USDC’de.
Daha fazlasını okuyun: Axie Infinity’nin Ronin Ağı Acı Çekiyor 625 Milyon Dolarlık Exploit
Ancak gözlemciler, bilgisayar korsanının her ikisinde de merkezi borsalar kullandığını kaydetti. saldırıyı başlatan adresi finanse edin ve Huobi, FTX ve Crypto.com dahil olmak üzere borsalara binlerce ETH yatırıyorlar – birçok güvenlik uzmanının olası bir yanlış adım olarak nitelendirdiği bir hareket.
Bu platformlar müşterinizi tanıyın (KYC) doğrulama sistemlerine sahip olduğundan, bu mevduatlar bilgisayar korsanının kimliğini keşfetmek için kullanılabilir ve sonunda onları fonları iade etmeye zorlar.
“Onların yerinde olsaydım, bu durumdan mümkün olduğunca çabuk kurtulmaya çalışırdım,” blockchain analitik firması Elliptic’in kurucu ortağı Tom Robinson, CoinDesk’e şunları söyledi: “Bu, fonların iade edilmesini içerebilir.”
Sömürücünüzü tanıyın
Saldırganın merkezi borsalar aracılığıyla para aklamaya çalışmakta kullanılan mevcut yöntemi, sektördeki bir dizi uzmanı tuhaf buldu.
Robinson, “Hırsızlıklardan büyük borsalara bu tür doğrudan fon akışlarını görmek olağandışı” dedi. “Hesap satın almış olabilirler veya kendi adlarına para aklamak için bir aracı kullanıyor olabilirler.”
Ekim ayına özel olarak CoinDesk, merkezi borsalarda KYC’d hesapları için gelişen bir karaborsa olduğunu keşfetti. Ancak Robinson, FTX ve Crypto.com dahil olmak üzere kullanılan borsaların mevzuata uygunluk ve KYC konusunda güçlü bir itibara sahip olduğunu kaydetti.
Toplamda, saldırganın paralarını aklamak için şu anki çabalarını “şaşırtıcı derecede saf” olarak nitelendirdi.
“Bu, bu doğrulayıcılardan ödün vermenin ve özel anahtarlarını almanın görünüşte gerektireceği karmaşıklıkla pek uyuşmuyor.” ekledi.
Sömürücülerin daha yaygın bir stratejisi Tornado Cash gibi bir karıştırıcı kullanmak, çalıntı fonları KYC’d olmayan borsalar aracılığıyla göndermek ve Robinson, genel olarak “her şeyi hemen nakite çevirmek için acele etmemek, hatta belki yıllarca beklemek” dedi.
Gerçekten de, daha geniş kripto topluluğu, saldırganın aklama stratejisinde şaşkınlık dile getirdi.
Genellikle bir saldırı sonrasında olduğu gibi, Ethereum kullanıcıları saldırganla iletişim kurmak için ağı kullanıyor ve bir durumda, bir kişi saldırgana ETH’lerini daha iyi aklamak için ipuçları vermeye çalıştı.
“Merhaba, [sizin] ilk para yatırma işleminiz Binance’dendi, dikkatli olun ve tornado.cash kullandığınızdan emin olun. bir Ethereum işleminin parçası olarak saldırganın adresine yazdılar. “Daha sonra, uzun bir süre boyunca diğer para birimlerine takas yapmak için Stealthex.io’yu kullanmalısınız. Teşekkürler, bana bahşiş vermekten / emekli olmaktan çekinmeyin.”
Ancak, sıkı gizlilik koruma araçları ve dikkatli bir planla bile, Robinson CoinDesk’e bu kadar büyük bir meblağı aklamanın olağanüstü zor olduğunu söyledi. 600 milyon dolar olarak. Gerçekten de, aklayıcıların yıllar boyunca bir dizi önlem almasına rağmen, ABD yetkilileri geçen ay 2016 Bitfinex hackiyle ilgili 3,6 milyar dolarlık bitcoin ele geçirdi.
Çantayı karıştırma
Axie’nin saldırgan hakkında bilgisi varsa, bilgisayar korsanlarını belirlemenin geçmişte geliştiriciler için başarılı bir taktik olduğu kanıtlanmıştır.
CoinDesk tarafından ulaşıldığında, blockchain dedektiflik firması Chainalysis, devam eden soruşturmaya dahil olduğunu öne sürerek yorum yapmayı reddetti.
Geçen Eylül, blockchain tarihindeki en renkli hack olaylarından birinde, Jay Pegs geliştiricileri Auto Mart mantarı olmayan token (NFT) düşüşü, diğer taktiklerin yanı sıra evlerine miso çorbası sipariş ederek bir bilgisayar korsanını para iadesi konusunda başarılı bir şekilde korkuttu.
Devamını oku: 3 Milyon Dolar Çalındı, Ama Gerçek Çalınan Bu Kia Sedonas, Diyor Anonim Geliştiriciler
Eski Sushi CTO’su Joseph Delong, Jay Pegs müzakerelerine katılan bir hacker, bir bilgisayar korsanını tanımlamanın “isimsiz bir kaçışı önlemeye” yardımcı olabileceğini ve kamuoyu baskısını artıracağını söyledi.
“Saldırganı doxing yaptığınız için insanlar kızacak ama bu kriptoanarşistler üstünlük kompleksleriyle kendilerini becerebilirler.” Delong Salı röportajında dedi.
“600 milyon doları aklamak, bunun mümkün olduğunu sanmıyorum,” dedi Immunefi’de DeFi uzmanı Adrian Hetman, bir bug ödül servisi. “En iyi senaryo, protokole girmek için kara şapka kullanmak yerine, bu bilgiyi bir bug bounty platformunda hatalar göndermek için kullanmalısınız – kolayca milyoner olabilirsiniz.”
Sushi’den Delong, bilgisayar korsanına seçenekler sunmanın “net bir ödül programı ve Immunefi gibi ortaklar” gibi yararlı bir araç olabileceğini de kaydetti. yardım etmek.”
Gerçekten de, Immunefi, DeFi ve Web 3’ün ekosistemi yükselen dalgalardan korumaya bakmasıyla ortaya çıkan çok sayıda hizmet arasında yer alıyor. hack’ler. Immunefi tek başına 20 milyon dolar böcek ödülü ödedi ve şu anda beyaz şapkalar için 120 milyon doları var, güvenlik açıklarını bildirmek yerine çalıntı fonlarla kaçan siyah şapkalı hackerların hayırsever karşıtı için lingo kodluyor.
Tarih, 625 milyon doları çalmaya ve aklamaya çalışmanın saldırgan için en düşük kazançlı seçenek olabileceğini gösteriyor. Geçen Ağustos ayında Poly Network’ten 611 milyon doları çekmeyi başaran bilgisayar korsanı, parayı çekmenin imkansız olduğuna karar verdikten sonra sonunda parayı iade etti.
“Sanırım ya yakalanıyor ya da parayı iade etmek zorunda kalıyor. Ya da her ikisi de,” dedi Ronin hacker’ından Hetman.
İdeolojik motivasyonlar
Bununla birlikte, Axie Infinity için en kötü durum senaryosunda, sömürücü parayı hiç umursamayabilir bile.
“Bence – temelde – sömüren ideolojisi GSYİH hakkında konuşurken göz önünde bulundurulması gereken en önemli şey- Blockchain geliştiricisi ve bilgini Laurence E. Day, “hackler yoluyla elde edilen büyük rakamlar” dedi. “Bunu basitçe güvenlik açığı veya ‘çünkü-olabilecekleri-sonuçları lanet olası’ hakkında bir mesaj göndermek için yaptılarsa, ‘buna değer miydi’ sorusu, yetenekleriyle ilgili olarak bu yeterli kendini doğrulamayı düşünüp düşünmediklerine bağlıdır. ”
Day, mesaj göndermek isteyen bilgisayar korsanlarına yakından aşinadır. Geçen Ekim ayında, Endekslenmiş Finans’a katkıda bulunan bir protokol Günü, Kanadalı bir genç matematik dahisi olan Andean “Andy” Medjedovic tarafından istismar edildi.
Devamını oku: ‘Çaldıktan’ sonra 16 $ M, Bu Genç Hacker, Mahkemelerde ‘Kod Kanundur’u Test Etmeye Niyetli Görünüyor
Takıma rağmen Medjedoviç’i doxxing ve davayı mahkemeye taşıyan Kanadalı yüksek lisans öğrencisi şimdiye kadar fonları iade etmeyi reddetti. Medjedovic’e ait olduğunu iddia eden bir hesaptan atılan bir dizi tweet’te, çatışmayı bir “düello” ve “ölümüne mücadele” olarak nitelendirdi.
Medjedovic şu anda kanundan kaçarken, olay ona önemli bir ün kazandırdı ve bu onun birincil motivasyonu olabilir.
Bununla birlikte Day, Ronin hacker’ı paradan çok şöhretle ilgileniyorsa, bu nihai hedefin bile şu anda öyle göründüğünü kaydetti. Kaybeden bir oyun: Yakalanmadan asla sorumluluk alamayacaklar.
“Egonun, istismarları gerçekleştiren insanların çöküşü olduğunu defalarca gördük ve ben bunu hayal ediyorum’ Beyaz şapkalı bir lütuf üzerinde pazarlık yapmanın ve toplumun gözünde bir tanrı olmanın size izin verdiği şekilde, buna asla sahip olamamak oldukça zor olurdu,” dedi Day.
Coindesk haberinden çevrildi ve haberleştirildi.