Babbitt News, 8월 12일 23시 40분 현재 이더리움의 마지막 28,953 ETH가 Poly Network가 설정한 이더리움 다중 서명 지불 주소에 입력되면서 이전에 도난당한 6억 1천만 달러가 반환되었습니다(5억 8천만 달러) 모두 50시간 이상 지속된 블록체인 역사상 최대 규모의 해킹 사건인 3343만 USDT가 테더(Tether)에 의해 동결되었습니다.
보조 제목
8월 11일 23:57
Q: 왜 해커가 되고 싶나요?
A: 그냥 재미로 :)
Q: 폴리 네트워크를 선택한 이유는 무엇입니까?
답변: 크로스체인은 매우 인기가 있습니다.
Q: 토큰을 전송하는 이유는 무엇입니까?
A: 안전을 보장하기 위해.
이 오류가 발견되었을 때 저는 복잡한 감정을 느꼈습니다. 자신에게 물어보십시오. 당신 앞에 그렇게 많은 부가 있다면 어떻게 하시겠습니까? 프로젝트 팀이 버그를 고칠 수 있도록 정중하게 알려주시겠습니까? 그러나 이것은 10억 달러이기 때문에 누구나 반역자가 될 수 있습니다! 나는 누구도 믿을 수 없다. 아무도 믿을 수 없어! 내가 생각할 수 있는 유일한 해결책은 내 신원을 익명으로 안전하게 유지하면서 내가 신뢰하는 계좌에 돈을 입금하는 것입니다. 이제 모두가 음모의 냄새를 맡을 수 있습니다. 소식통? 나는 아니지만 누가 알겠어? 내부자가 숨기고 악용하기 전에 이 취약점을 노출하는 것이 나의 의무입니다!"。
Q: 왜 그렇게 복잡합니까?
답변: POLY 네트워크는 좋은 시스템입니다. 이것은 해커가 즐길 수 있는 가장 어려운 공격 중 하나입니다. 내부자나 해커를 빨리 이겨야 합니다. 보너스 도전으로 받아들입니다 :)
Q. 정체를 밝혔나요?
보조 제목
8월 12일 00:31
Q: 30시간 전 공격에서 정확히 무슨 일이 있었나요?
A: 이야기가 길어요.
믿거나 말거나 나도 이 게임을 하도록 강요받았다.
Poly Network는 복잡한 시스템이며 로컬 테스트 환경을 설정하지 못했습니다. 처음에는 개념 증명(POC)을 할 수 없었습니다. 하지만 포기하려던 순간 기회가 찾아왔다. 밤새도록 디버깅한 후 온톨로지 네트워크에 대한 _SINGLE_ 메시지를 만들었습니다.
저는 Poly를 지원하는 4개의 네트워크인 ETH, BSC, Polygon 및 HECO를 신속하게 인수하기 위해 멋진 공세를 시작할 계획입니다. 그러나 HECO 네트워크에 문제가 발생했습니다! 그것의 릴레이는 다른 것들과 다르게 행동했고, 관리자는 단지 내 익스플로잇을 직접 릴레이했고 키는 몇 가지 잘못된 매개변수로 업데이트되었습니다. 이로 인해 내 계획이 무너졌습니다.
그 순간 공격을 그만뒀어야 했는데 쇼를 계속하기로 했다! 사전 통보 없이 몰래 버그를 패치했다면?
그러나 나는 암호 화폐 세계에서 진정한 패닉을 일으키고 싶지 않습니다. 그래서 사람들이 0이 될까봐 걱정할 필요가 없도록 Poly의 쓰레기 코인을 무시하기로 했습니다. 나는 그 중요한 토큰(SHIB 제외)을 가져갔고 이후에는 어떤 토큰도 판매하지 않았습니다.
Q: 그렇다면 스테이블 코인을 판매/교환하는 이유는 무엇입니까?
A: POLY 팀의 초기 대응은 저를 화나게 했습니다.
그들은 내가 대답하기도 전에 다른 사람들이 나를 비난하고 미워하도록 부추겼습니다! 물론 가짜 DeFi 토큰이 있다는 것을 알고 있었지만 돈세탁할 계획이 없었기 때문에 심각하게 받아들이지 않았습니다.
보조 제목
8월 12일 00:55
Q: 커뮤니티 회원에게 13.37 ETH 팁을 보내는 이유는 무엇입니까?(참고: "Hanashiro.eth"라는 커뮤니티 회원이 트랜잭션 메시지를 통해 해커에게 USDT를 사용하지 말라고 알리고 "PolyNetwork Exploiter"에 연결된 주소에서 13.37 ETH의 보상을 받았습니다.)
A: 이더리움 커뮤니티의 따뜻함이 느껴진다.
저는 HECO 문제를 조사하고 스크립트를 디버깅하느라 바빴습니다. 입금이 안 되는 이유는 네트워크 문제인 것 같습니다(복잡한 웹 프록시를 사용합니다). 그래서 그 사람과 선의를 나누었습니다.
Q: 토네이도와 DAO에 대해 묻는 이유는 무엇입니까? (참고: 토네이도는 일반적으로 해커가 코인을 혼합하고 훔친 자산을 세탁하는 데 사용됩니다.)
A: 많은 해킹을 목격하면서 Tornado에 돈을 투자하는 것이 현명하면서도 절박한 결정이라는 것을 알았습니다. 이것은 내 원래 의도를 무효화합니다. 너무 많은 구걸을 본 후 크라우드 소싱 해커가 되는 것은 제 농담일 뿐입니다 :)
Q: 자금이 반환되는 이유는 무엇입니까?
A: 이것은 항상 내 계획이었습니다! 나는 돈에 별로 관심이 없다! 사람들이 해킹을 당하면 고통받는다는 건 알지만 과거에 일어난 수많은 해킹에서 무언가를 배워야 하지 않을까요? 자정 직전에 환불 결정을 발표했으니 저를 믿는 분들은 푹 쉬세요 ;)
Q: 자금 반환 진행이 다소 느린 이유는 무엇입니까?
A: POLY 팀과 소통할 시간이 필요합니다. 죄송합니다. 품위를 유지하면서 신분을 숨길 수 있는 유일한 방법입니다. 나는 쉬는 시간이 필요합니다.
Q: Poly 팀에 대해 어떻게 생각하십니까?
A: 그들과 짧은 대화를 시작했고 콘텐츠 로그는 모두 이더리움에 있습니다. 나는 이것을 게시하거나 게시하지 않을 수 있습니다. 그들의 고통은 일시적이지만 잊을 수 없을 것입니다.
보조 제목
8월 12일 01:13
보조 제목
8월 12일 02:05
보조 제목
8월 12일 02:59
질문: 왜 CEX입니까? 신병?
답변: 무엇이든 :)
이 해킹의 핵심 과제는 온톨로지 네트워크(제가 가장 좋아하는 부분)와 일부 계약을 호출하는 것이었습니다. 넌 좀 얻어야 해"Gas", 라고"ONG". 거래 가능한 DeFi 토큰이 아니며 일부 중국(?) 거래소에서만 찾을 수 있습니다. CEX를 거쳐야 하는데 왜 Dex에서 거래하나요? DEX에 흔적을 남길 수 있다고 생각하는 이유는 무엇입니까?
Q: 환불이 필요한 이유는 무엇입니까? 겁쟁이?
답변: 무엇이든 :)
다른 사람을 판단할 때 당신은 그들을 정의하는 것이 아니라 자신을 정의하는 것입니다.
저는 제가 가장 중요하게 생각하는 해킹과 멘토링을 즐겼습니다.
DdeFi 보안 상황을 이해할 수 있는 해커는 거의 없습니다. 예, 많은 해킹을 볼 수 있지만 대부분은 실제 해커만큼 유쾌하지 않습니다. 일부 어리석은 코드로 인해 많은 피해가 발생했지만 어렵지는 않았습니다. 십대와 맞서는 것과 같습니다.
Poly 해킹이 생각만큼 화려하지는 않지만 이 프로젝트에서 확실히 새로운 것을 경험하게 되었습니다. Poly 네트워크 구조의 사각지대를 파악한 것이 제 인생 최고의 순간 중 하나라고 말하고 싶습니다.
암호화폐 세계의 발전으로 저는 이미 충분한 돈을 가지고 있습니다. 나는 한동안 삶의 의미를 찾고 있었다. 나는 내 인생이 독특한 모험으로 만들어지기를 원하기 때문에 운명에 맞서기 위해 모든 것을 배우고 해킹하는 것을 좋아합니다. 운명은 내 마음에 있습니다.
보조 제목
8월 12일 03:12
보조 제목
8월 12일 03:34
여러분 스스로에게 물어보세요. Poly 팀이 자산의 소유자입니까? 그들은 단지 펀드매니저일 뿐이야"뒷문"~을 위한
~을 위한"피해자"보조 제목
8월 12일 6:09
보조 제목
8월 12일 23:40
보조 제목
8월 13일 3시 18분
해커는 자신의 모험으로 피해를 입은 무고한 사람들에게 사과하는 메시지를 체인에 남겼습니다.
메시지 해시 주소: 0x78b8d13618af4d1b8facfde5906cb40972ff70b04574de3aa6b2b403329c7b44
보조 제목
8월 13일 6:18
해커는 커뮤니티에 해킹 사건의 배경을 설명하는 메시지를 체인에 남겼습니다.
해시: 0xf34ee3551be7be57df6643d4ec7e4bdf9fd047d925c3c32a74e64e7428e5f8a9
질문: 왜 AMA입니까? 당신의 고백?
A: 다이어리에 가깝습니다. 내가 자랑스러워하는 것.
Q: 왜 모든 자금을 반환합니까?
A: 말했듯이 나는 돈이나 자본에 관심이 없다.
Q: 쓰레기 영어?
A: 영어는 제 모국어가 아닙니다(신원 공개). 꾸밈 없이 솔직한 마음을 표현했습니다. "Shift" 키를 누른 상태에서 입력하는 것은 쉽지 않습니다.
Q: 검은색 모자 또는 흰색 모자?
A: 나도 남을 판단하는 우월함을 즐기지만 결코 쉽지 않다. 합법적인 사람이 흰 모자일 뿐만 아니라 검은 모자도 좋은 사람이 될 수 있습니다. 사람들은 변할 수 있습니다. 그레이라고 들어보셨나요?
Q: White Hats가 개발자에게 알려야 하지 않나요?
A: P1Q1234를 읽으십시오. DEFI는 매년 수백 개의 프로젝트가 도주하는 어두운 숲입니다. 나는 아무도 믿지 않는다.
Q: 왜 어둠 속에 숨습니까?
A: 합법적인 경우에도 어떤 이유로든 위험에 처할 수 있습니다. 보안 담당자는 보안에 관심이 있습니다.
Q: 왜 그렇게 많은 설명이 필요합니까?
A: P4Q2를 읽으십시오. 멘토링 부분은 저에게 많은 의미가 있습니다. 저의 오만과 욕심을 극복한 방법을 공유하고 싶습니다. 해킹 부분보다 정신적인 도전이 더 쉽지 않은 것 같아요.
솔직히 EXPOLIT이 작동했을 때 너무 흥분해서 원래 계획을 거의 잊을 뻔했습니다. 너무 많은 추측과 예상치 못한 일이었기 때문입니다(P2Q1 참조). 첫 번째 메시지(P3Q1 참조)는 창의적인 작업에 대한 관심을 불러일으켰습니다. 메시지 목록에서 흥미롭지만 합리적인 아이디어를 찾는 데 시간을 보냈습니다.
나는 (여전히) 내 가죽에 꽤 자신이 있기 때문에 견딜 수 없는 피해를 입히지 않는 한 이 경기를 감당할 수 있을 것 같다. 그 난민들 때문에 진정되기 시작했습니다. 네, 잠시라도 돈을 빼앗는 것은 여전히 용서할 수 없는 농담이고 너무 고통스럽다는 것을 압니다.
"십억 똥코인"이라는 농담으로 이벤트의 헤드라인이 더 극적일 수 있지만 최종 결과는 동일합니다. 저는 똥코인을 버리지 않을 것입니다. 그것은 끔찍한 농담으로 밝혀졌습니다. "DAO" 농담으로 커뮤니티에 환불 방법과 시기를 물었습니다. 무책임한 농담입니다.
나는 노출이나 돈세탁 문제에 대해 전혀 겁먹지 않습니다(신인 과정 읽기). 내 결정이 많은 사람들의 삶을 바꿀 것이기 때문에 조심해야 한다는 것을 방금 깨달았습니다! 토큰을 거기에 두고 게임을 종료하면 백만장자가 되어 평소처럼 퀘스트를 계속할 수 있지만 수천 명의 사람들이 자신의 운명을 통제하지 못할 것입니다. 이것은 내 개인적인 철학에 위배됩니다(P4Q2 참조).
한 번은 익명 사서함에서 서명된 ETH 트랜잭션을 첨부하여 POLY에 이메일을 쓴 적이 있습니다. 메일을 받으면 내 주소를 통해 거래를 알릴 수 있습니다. 그들보다 먼저 새로운 메시지를 방송할 수 없기 때문에 현명한 조치가 아닙니다. 이메일을 잃어버렸나 봅니다. ETH에서 확인을 받지 못했지만 이 오류가 발생하기까지 몇 시간을 기다렸습니다.
이야기의 다음 부분은 이미 알고 있는 내용입니다. 게임을 중단하고 계획한 대로 돈을 돌려받았습니다.
Q: 노출되지는 않았지만 단서가 있어서 겁이 나네요!
A. 누구보다 자신 있다.
나는 현실 세계에서 알려진 해커입니다(신원 유출 2). 저는 보안 업계에 종사하며 어렸을 때부터 해커(신원 유출)로 일해 왔습니다. 진지하게 보안 연구원으로서 우리의 임무는 숨겨진 세계를 구하는 것입니다.
보안컨설팅이 힘든 일이고 홍보와 명성이 큰 의미가 있다는 것을 알고 있습니다. 보안 팀이 내 사건을 기반으로 광고를 만드는 것을 신경쓰지 않습니다. 특히 도움이 된다면 말입니다. 안전 문제를 제기하는 것도 우리 직업의 소명입니다.
해커가 한 달 안에 내 사회적 정체성을 찾을 수 있다면 그에게 내 개인 선물을 보내고 싶습니다. 그렇지 않으면 내 정체성에 대한 또 다른 단서를 제공했을 수도 있고 제공하지 않았을 수도 있습니다. 게임을 할까요?
인정을 받았지만 여전히 성실함이 자랑스럽습니다 :)
이 기사는 Babbitt의 허가를 받아 복제되었습니다.
IOS
Android