PolyNetwork 事件の 3 日目: 52 時間で 6 億ドルが回収されました。ハッカーは自らの身元情報を積極的に明らかにした。神宇は記念碑を建てたい

ウー・サイード著者 |コリン・ウー

この号の編集者 |コリン・ウー

8月12日夕方、PolyNetworkのハッカーは基本的にすべての資金を返還し、DeFi史上最大のコイン盗難事件は一時的に終結した。ハッカーは自ら語り続け、事件についてさらに詳しい情報を提供した。彼は大量の個人情報（真偽は不明）を積極的に公開し始めました。 3日目も引き続き状況を整理してみましょう。

8月12日の朝、PolyNetworkハッカーはPolygonチェーン上のすべてのトークン、約8,500万を返却しました。

PolyNetwork は新しいツイートを公開しました: 私たちが困難な時期を経験していることは否定できませんが、私たちの現在の主な目標はユーザー資産を完全に回復することであることを、すべての PolyNetwork ユーザーの皆様に思い出していただきたいと思います。チームはこの目標を達成するために懸命に取り組んできました。こういうことが起きました。当社は、ホワイトハット氏が表明した通り、残存するユーザー資産を全て返還していただくことを期待しており、引き続きこの目標達成に向けて努力してまいります。

その後、PolyNetwork のハッカーは外部からの疑問に対して次のように答えました。
DeFi 初心者に伝える: 私の最初の試みは、利息目的で Curve に預金することでしたが、これは無害で安全でした。スワップによって安定したプールに不均衡が生じることも望んでいません。私の計画は、USDC を引き出すのは愚かだと気づくまで CRV を保持し、その後は DAI に変換するしかないということです。明らかに追跡可能なのに、なぜマネーロンダリングをするのでしょうか?
なぜ資金を送金する方法がないと思うのですか?多すぎるから？ TORNADOは十分に強力です。毎月100 ETHを送金できます。キャッシュフローをどのように特定しますか?私は彼らをからかったが、実際にやってみたことはなかった。
DEFI の世界では、コードが法律です。それで仲裁人は誰ですか?私たちハッカーは武装部隊です。もしあなたが武器を与えられ、匿名のまま群衆から何十億もの人々を守れるとしたら、あなたはテロリストになるでしょうか、それともバットマンになるでしょうか?
セキュリティ初心者への一言: 完璧なシステムは存在しません。 Poly チームやその監査人を責めるべきではないと思います。私の経験では、Poly ネットワーク システムのロジック全体を理解するのは簡単ではなく、微妙なエラーを見つけるのはさらに困難です。皆さんに知っていただきたいのは、決して理解できないかもしれないものに自分の人生を賭けないでほしいということです。

北京時間8月12日の夕方、PolyNetworkハッカーは1,032WBTCとDAIを含む1億4,200万ドルをイーサリアムチェーンに返還した。 8月12日北京時間12時頃、PolyNetworkハッカーの最後の28,953 ETHが返金されました。計算によれば、Tetherによって凍結された3000万USDTを除いて、基本的にすべての返金が行われた。しかし、2億3000万は両当事者のマルチ署名アドレスの4分の3に存在します。

ポリネットワークは、「善意の行為」をしたハッカーに50万ドルの報奨金を出すとしているが、ハッカーは「確かに報奨金は提示されたが、私はそれに返答しなかった。その代わりに、全額返金するつもりだ」と述べている。

さらに、ハッカーは、これが最後のトークンであるETHだと言いました。しかし、初めて怖いと感じました！彼らは私を6億さんと呼んでいますが、最近ETHの価格が下がっています。私の残高が借金をカバーできなかったらどうなるのでしょうか？ ETH急騰お願いします！

私の冒険によって影響を受けた無実の人々に同情します。私は暗号通貨の世界にノイズを持ち込まないようにしています。つまり、クソコインへの露出、大量交換、貴重な資産の投棄は避けています。しかし、アベンジャーズでさえ民間人からの果てしない訴訟に対処しなければならない。真剣に言うと、私は限られた賞金を事故被害者補償基金の資金源として使うことを考えていますが、特にあなたが自分の資力を超えてギャンブルをした場合、あなたの損失が私のせいであることを証明するのは困難です。もう一つの恥ずかしい事実は、難民たちが私のメーリングリストを乗っ取っており、本当の話で彼らと競争するのは難しいということです。とにかく何かやってみます。

その後、ハッカーは寄付先の住所を公表し、それが資金の主な資金源になるだろうと述べた。

F2Poolの共同創設者であるShenyu氏は次のように述べた。（市場では以前、Shenyuが1億ドルを投資したという噂があった）

一昨日の19時30分から現在まで52時間、複数の関係者の共同の努力とコミュニケーションにより、PolyNetworkセキュリティインシデントの解決が促進されました。現在、ホワイトハットハッカーは5億8000万ドルすべてを返還しており、そのうち3343万USDTはTetherによって凍結され、2億3000万USDTは双方のマルチ署名アドレスの4分の3にあり、段階的な成果を達成しています。
この救出事件の目撃者として、ホワイトハットハッカーのMR氏に特別な感謝の意を表したいと思います。 600 MILLION、SlowMist、Tether、PolyNetworkなど数十の参加者が分散コラボレーションを通じて脆弱性分析を迅速に完了し、秩序あるコミュニケーションを行い、インシデントの進行を継続的に前進させました。今後は各方面との調整を継続し、仕上げ工事も完了させ、無事に終了させて​​まいります。
この事件はすべてのDefi参加者への警告であるため、CV（メタバースプロジェクトCryptovoxels）に記念碑を建ててこの事件を記念し、すべての参加者に感謝し、業界全体の安全な発展を促進します。

その後、Shenyuはコミュニティで次のように反応しました。「段階的な成果しか得られず、コインの全額返金が完了するまでにはまだ道のりが残っています。」まず、現在、マルチ署名アドレスには 2 億 3000 万ドルが残っており、プロジェクト関係者とホワイトハットハッカーが協力して取り組む必要があります。このマルチ署名アドレスは 3/4 マルチ署名です。現在、プロジェクト当事者とホワイトハットハッカーはそれぞれ 2 つの秘密鍵を持っているため、資金が実際にプロジェクト当事者のアドレスに返還される前に、ホワイトハットハッカーが承認に同意する必要があります。第二に、現在Tetherによって凍結されているUSDTは3,300万もあり、プロジェクト関係者とTetherが協力する必要があります。第三に、投資家が資金を正常に回収できるようにするには、プロジェクト側がシステムの抜け穴を修正し、プールを再起動する必要があります。最も楽観的な見積もりでも1週間はかかるでしょう。

ウー・ブロックチェーンの編集長コリン氏は、今回の事件への対応がうまくいったことで、DeFi業界が初期のメントウゴウのような「壊滅的な災害」に見舞われることも防げたと指摘した。確かに、このハッカーの行動や発言は、位置情報の標的設定を強要されたハッカーというよりは、いわゆる「ホワイトハット」のハッカーに近い。英国警察は最近、BSCの「マグネット事件」も解決し、2000万ドル以上を全額返還した。これは、暗号化業界の発展に伴い、さまざまな機関間の協力と闘争のバランスが業界をより積極的かつ強力にしてきたことを示しています。 （ヘッド画像はニューズウィークより）

添付資料: 「おしゃべり」ハッカーは第 4 部と第 5 部で自己紹介を続け、プロセス情報もいくつか含め、積極的に自分の身元情報を明らかにしました。前述の内容は前の記事にありました。

Q&Aパート4:

Q: CEX を選んだ理由は何ですか (Tiger Talisman のことでしょうか)?ルーキー？

A: 何でもいいよ :)

主な課題は、Ontology ネットワークからいくつかのコントラクトを呼び出すことでした (私のお気に入りの部分)。オントロジー ネットワークでは、「ONG」と呼ばれる「ガス」を取得する必要があります。

ただし、これは DEFI 取引可能なトークンではありません。一部の中国製 CEXS でしか見つけられません。 CEX を経由しなければならないのに、なぜ DEX で取引するのでしょうか?なぜ私が DEXES に痕跡を残す可能性があると思いますか?

Q: なぜ返金なのですか?臆病者？

A: 何でもいいよ :)

他人を判断するとき、あなたは他人を定義するのではなく、自分自身を定義しているのです。

私は、自分が最も大切にしていること、つまりハッキングとメンタリングを楽​​しんできました。

DEFI セキュリティの状況を理解できるハッカーはほとんどいません。はい、ハッキングをたくさん見かけますが、そのほとんどは実際のハッキングほど楽しいものではありません。いくつかの愚かなコードは大きな損失につながる可能性がありますが、それは難しいことではありません。まるでティーンエイジャーと対戦しているようだ。

Poly Hack は皆さんが思っているほど派手なものではないことは認めますが、このプロジェクトから何か新しいことを経験できました。 Poly ネットワーク アーキテクチャの盲点を見つけることは、私の人生で最高の瞬間の 1 つになると思います。

暗号通貨の世界が成長するにつれて、私には十分なお金があります。私は人生の意味を探し求めてきました。私は自分の人生をユニークな冒険で満たしたいので、運命と戦うためにあらゆることを学び、ハッキングするのが好きです。死に至る。

正直に言うと、私には何かクールなことをしたいという利己的な動機がありますが、DAO のアイデアのような有害なものではなく、巨額の資金を活用してやりたいのです。そして、倫理的なリーダーになることが、私が残せる最も素晴らしいスキルだと気づきました。乾杯！

Q&Aパート5

Q: なぜ AMA なのですか?あなたの告白？

A: 日記のようなものです。私が誇りに思っていること。

Q: 英語が下手ですか?

A: ネイティブスピーカーではありません。 （正体明かし１）飾らずに自分の本当の気持ちを表現しました。 「Shift」キーを押しながら入力するのは簡単ではありません。

Q: ブラックハットですか、ホワイトハットですか?

A: 私も他人の優劣を判断するのは好きですが、決して簡単なことではありません。合法的な商品だけがホワイトハットになれるわけではありません。いわゆるブラックハットの人も、善人である可能性があります。人は変わるものです。グレースケールって聞いたことありますか？

Q: ホワイトハットは開発者に通知するだけでよいのではないでしょうか?

A: P1Q1234 をお読みください。 DEFI は暗い森であり、毎年何百ものプロジェクトが消滅しています。私は誰も信用しません。

Q: 最初はなぜ隠れていたのですか?

A: たとえ合法的であったとしても、何らかの理由で危険にさらされる可能性があります。セキュリティ担当者はセキュリティを重視しています。

Q: なぜそんなに詳しく説明する必要があるのですか?

答え: P4Q2を読んでください。メンタリングの部分は私にとって非常に意味があります。私が自分の傲慢さと貪欲さをどうやって克服したかをシェアしたいと思います。精神的な挑戦はハッキング部分より簡単だとは思いません。

正直に言うと、EXPOLIT が機能したとき、あまりにも予想外だったし推測が多かったので、興奮して当初の計画をほとんど忘れてしまいました (P2Q1 を参照)。最初のメッセージ (P3Q1 を参照) が、何か創造的なことをしたいという私の興味を刺激しました。興味深いが合理的なアイデアを見つけるために、メッセージ リストを調べるのに時間を費やしました。

私は（まだ）隠れることにかなり自信があったので、耐えられないほどのダメージを与えない限り、この試合に勝てるだろうと考えました。それから私は難民たちのおかげで落ち着き始めました。はい、たとえ一時的であっても、その金銭を引き継ぐことは依然として許されない冗談であり、あまりにも大きな苦痛をもたらすだろうということは承知しています。

「10億のシットコイン」というジョークについては、このイベントの見出しの方が注目を集めるかもしれないが、最終的な目的は同じだ。私はシットコインを売り払うつもりはない。これはひどい冗談であることが判明しました。 「DAO」ジョークに応えて、私はコミュニティに返金がどのように、いつ行われるかを尋ねました。これは無責任な冗談です。

私は暴露やマネーロンダリングの問題にまったく動揺しませんでした（私の初心者向けレッスンを読んでください）。私の決断は多くの人の人生を変えることになるので、慎重にならなければならないと気づきました。トークンをそこに残してゲームを終了すれば、私は億万長者としての生活を楽しみ、いつものように探求を続けることができますが、何千人もの人々が自分の運命をコントロールできなくなります。これは私の個人的な哲学に反します（P4Q2 を参照）。

私はすぐにPOLYにメールを書き、匿名のメールアドレスからの署名済みETHトランザクションを添付しました。郵便で受け取った場合、私のアドレスを通じて取引をブロードキャストできるようになります。彼らより先に新しいメッセージを放送することができなかったので、これは賢明な行動ではありませんでした。そのメールは紛失したようで、ETH の確認が取れませんでしたが、このエラーのせいで何時間も待たされました。

物語の次の部分は、すでに皆さんがご存知のことです。私はプレイをやめて、予定通りお金を返金しました。

Q: 暴露はされなかったけど、手がかりはあったから怖かったんですね！

A: 私は誰よりも自信があります。

私は現実世界では有名なハッカーです（正体明かし2）。私はセキュリティ業界で働いており、子供の頃からハッキングの職業に携わってきました (Compromised Identity 3)。真剣に言えば、セキュリティ研究者としての私たちの仕事は、隠された世界を救うことです。

セキュリティコンサルティングは大変な仕事であり、評判が非常に重要であることは承知しています。セキュリティ チームが私のインシデントに基づいて広告を作成することは、特にそれがセキュリティ チームにとって役立つ場合は、気になりません。安全性についての懸念を喚起することも、私たちの職業人生の使命です。

もしハッカーが1か月以内に私のソーシャルアイデンティティを見つけたら、その人に個人的な贈り物を送りたいと思っています。そうしないと、私の身元に関する別の手がかりが漏れてしまうかもしれません。ゲームをしましょうか？

認められたにもかかわらず、私は自分の誠実さにまだ誇りを感じています :)