Хакер легально получит $47 миллионов, украденных у Mango Markets: как ему это удалось

​

История началась три дня назад, 12 октября, когда неизвестный хакер атаковал DeFi-криптоплатформу Mango Markets и вывел оттуда около $116 миллионов в криптовалюте.

Тогда специалисты платформы пришли к выводу, что это стало возможным благодаря манипулированием ценами оракула в части увеличения стоимости залога нативного токена MNGO с использованием крупного депозита в USDC. Потом эта версия была подкорректирована в пользу схемы pump & dump, что стало возможным благодаря несовершенству системы оценки рисков.

Вчера хакер обратился к команде платформы и предложил сделку: он возвращает $69 миллионов, а $47 миллионов оставляет себе с гарантией отсутствия к нему (или к ней) каких-либо претензий.

Команда обратилась к сообществу, которое большинством голосов в 96,6% проголосовали за принятие предложения.

Было решено, что все участники событий получают 100% компенсацию понесенных убытков и отказываются от каких-либо претензий, включая судебные иски.

Согласно статистике, по итогам третьего квартала 2022 года платформы и другие элементы экосистемы Web 3.0 потеряли средств на сумму больше $428 миллионов. Из них на хакерские атаки пришлось 30 инцидентов, добычей взломщиков стали криптовалютные активы на сумму около $399 миллионов. В других 9 случаев имел место банальный скам, потери от которого составили около $29,8 миллионов.

Отмечается, что в 98,8% случаев потери понесли DeFi-проекты, и только 1,2% от общих потерь приходится на централизованные финансы (CeFi).

Ранее сообщалось о том, что хакер согласился выплатить криптоивестору $22 миллиона.

Источник

 

Не понятно почему именно такие суммы фигурируют в "сделке".
И где гарантия что за этим хаккером действительно не прекратится слежка и его (ее) поиск с целью вернуть всю украденную сумму.

 

Такой вариант "легального" взлома наиболее презентабелен для хакеров, потому как я всегда удивляюсь как мало получают "белые" хакеры за свои старания. Лучше украсть и предложить вернуть, чем получить в аналогичной ситуации что-то около 0.1% от текущей суммы, а так 40 на 60 весьма не плохо. На месте хакера я бы был поскромней и забрал бы порядка 10 млн. А что?! Мне бы этого было достаточно. С другой стороны не понятно какая была первоначальная сумма депозита.

 

Потому что такую сумму к возврату предложил хакер. Соответственно, другая часть суммы достается ему или ей или им, если хакеров несколько и работают они в команде. Больше нам, как сторонним наблюдателям, по всей видимости знать не дано.

Гарантий никаких. Как и гарантий со стороны хакера. Все на честном слове. Насчет преследования - так попробуй отследи и найди таких персонажей. С 47 миллионами USD можно "выйти на пенсию" и отдыхать столько, сколько хочешь выгодно инвестировав при этом часть средств и грамотно распределив их по нескольким инвестиционным портфелям.

 

Или же с 47 млн можно попробовать взломать другой мост или найти ещё одну уязвимость. Мне всё е не даёт покоя слова про "крупный депозит", сколько он в итоге ему понадобилось средств чтобы это провернуть?! Об этом информации нет? Если там например 20 млн. то сумма в 47 уже не выглядит такой большой или вся сумма уже учитывают сумму, которую потратил он? Кстати таких уязвимостей может быть много и у других проектов, потому что у них нет банально таких же крупных инвесторов.

 

Какой находчивый хакер, и большая умница. Восхищаюсь людьми, которые владеют искусством дипломатии, и умеют договариваться с людьми. Ведь он по сути понимал, что рано или поздно, его всё равно, удастся вычислить. А так, он остался с деньгами, и показал разноработчикам, уязвимость их системы. И самое главное, команда, обратилась к сообществу, которые поддержали выдвинутое предложение.

 

Сообщают о 5 миллионах USDC, которые были выведены вместе со всем остальным. Они не включаются в "заработок". Это наводит на мысль, что хакер работал не один, а в команде. А может крипта на депозите также была у кого-то где-то украдена. Мы же не знаем этого. Да даже пятерку пару милионов долларов можно вполне пристойно жить.

 

Есть "самородки" любители, которые целенаправленно изучают работу криптоплатформы, и все их "слабые" стороны, так что вполне можно предположить, что он, работал один. Да и зачем кого-то посвящать в свои игры, где каждый захочет урвать кое-что для себя, или же, начнёт шантажировать. Сейчас люди, порядочностью не отличаются, и от них можно ожидать всего, чего угодно.

 

Помните эту классику жанра в кино, когда грабители удачно ограбив несколько банков всегда говорят: "этот последний и потом заживём". А я всё никак не могу понять, почему им было мало одного банка или двух, раз уж повезло ограбить два?! Очень не многие смогут остановится на этих цифрах, но в этот раз им реально повезло что разработчики не стали обращаться в полицию, повезёт ли во второй раз?! Смысл в том что всегда хочется большего чем есть сейчас. Как например задекларировать откуда не возьмись 40+ лямов?) Можно попасться на их отмывании например.

 

Некий Джесси Айзенберг, представившийся в анонимном дистан6ционном интервью изданию "The Block "магистром цифрового искусства", взял на себя ответственность за взлом Mango Markets. При этом он уверен в том, что не делал ничего противозаконного.

В то же время команда Mango Markets выставила на Discord план по выплатам компенсации всем пострадавшим от взлома площадки. За него должно проголосовать сообщество на протяжении 72 часов. Общая сумма компенсации составит $114 миллионов, именно столько был на счетах жертв за час до инцидента. Дополнительным доказательством состояния счетов будет служить snapshot (снимок), сделанный 11.10.2022 16:19 ET. На основе снэпшота будут рассчитаны все заемные средства, а прибыль и убыток будет конвертирована в USD.

После этого, площадка проверит каждый токен в казначействе, в порядке от наименьшего к наибольшему, и вернет заемные суммы в обозначенном порядке. Цена активов, выплаченных пользователям, будет использоваться для расчета их общего погашения. Это позволит ограничить волатильность и влияние цен для пользователей. Токен MANGO выплатят последним, так как с момента последнего снэпшота его цена заметно изменилась.

 

Хакер хороший психолог, он реально сумел проанализировать, что из всего этого выйдет, и не ошибся в своих расчётах. Он предложил свои правила игры, участникам сообщества, и они согласились. Важно всегда, уметь договориться, тогда человек получает больше шансов, на положительный исход дела. А когда нет реальных предложений, тогда действуют, исходя из ситуации.

 

Судя по новостям таких краж с помощью уязвимости точно по такому же сценарию было ещё 3, связанны они были в основном с NFT проектами и суммы там были в разы скромнее. Но тенденция сохранятся. Что если каждый хакер так же будет делать чтобы получать вознаграждение куда больше чем то, что он обычно получает или например аудитные компании, которые плохо выполняют свою работу по анализу.

 

Если хватило ума провернуть такую схему, то подозреваю, что хватит и ума легализировать крипту. По меньшей мере найти покупателя с дисконтом и / или на подставных обналичить, это первое, что приходит на ум. Или через микшер прогнать. Поделиться с кем надо. В любом случае, в накладе не останется.

 

Прикольно! Хакер украл деньги и ещё вдобавок выдвигает условия людям. Сейчас бы все так хакеры делали бы. Никак не думаю, что от него отстанут, при самом удобном случае этого умельца возьмут и дадут наказание, а пока он так и так будет на контроле. Как-то это смешно всё смотрится, что на него не нашли управу. Не так всё это просто! Но пропиариться он уже успел не слабо, а если и вправду всё сойдёт с рук, тогда ещё и с денежкой на руках. Во всяком случае, он уже засветился и его не забудут чуть чего.

 

Не каждый хакер, на такое решится. Ведь вполне, может получиться так, что ему, пообещают вознаграждение, а потом, напишут заявление в полицию, указав в нём формулировку — шантаж. Всякое может быть, и нет никаких гарантий, что команда платформы, согласиться на сделку, выполнив условия хакера. Во всяком случае, если одному повезло, то это не значит, что всем выпадет такая удача.

 

Ну те, кто не может решиться работают в белую, но меня всегда удивляло как мало платят таким хакерам. Это как сравнивать премию рядового сотрудника и топ менеджера компании. Может быть все последующие кражи и возвраты делали разные хакеры и просто по примеру. Однако технологии шифрования криптовалют позволяют обойти некоторые ограничения и вполне сухим выйти из воды. Так как пока не существует алгоритмом отслеживания любой защищённой транзакции.

 

Почему же мало. Вон Apple недавно два ляма предложила за взлом функции Lockdown Mode в iOS 16, да и Ethereum Foundation по ляму каждому за критическую уязвимость. Конечно, по сравнению с десятками миллионов улова черных хакеров это сравнительно немного, но в общем и целом суммы вполне приличные.

 

Тут зависит от того заинтересуется ли этим делом правоохранительные органы и на каком уровне. В мире есть по меньшей мере три компании которые отслеживают транзакции как в блокчейне так и за его пределами. И как правило найти злоумышленников могут не сразу, но это не значит что про них забыли и они не будут наказаны. А вот если не обращаться или сумма очень незначительна, то может и искать никто не будет. При грамотной подготовки, обычные органы не справятся с деанонимизацией.

 

А вообще можно было сделать намного разумнее, если, конечно, данный парень не против, предложить ему должность в данной кампании, например, по его специальности, проверять систему ее защиты. Но, наверно, парень не из тех, кто захотел бы, легально, получать зарплату за свой труд.

 

Иногда можно сообщить об ошибке, которую быстро исправят и скажут вам за это "спасибо". И чего ради так поступать? Зарплаты белых хакеров так же значительно не велики по сравнению с этими суммами. Ну или опять же, дадут вам просто вознаграждение, скажем тыс 20 и всё. Это не смотря на то как много они могли потерять. Вот и получается теперь что есть 2 типа хакеров, одни крадут и с концами, а вторые рассчитывают на то, что его попросят вернуть большую часть средств за солидное вознаграждение и никто не будет обращаться в полицию.