Babbitt News, lúc 23:40 ngày 12 tháng 8, khi 28.953 ETH cuối cùng trong Ethereum được nhập vào địa chỉ thanh toán đa chữ ký Ethereum do Poly Network đặt, 610 triệu đô la Mỹ bị đánh cắp trước đó đã được trả lại (580 triệu đô la Mỹ) Tất cả đã được trả lại, trong đó 33,43 triệu usdt đã bị đóng băng bởi Tether), sự cố hack lớn nhất trong lịch sử blockchain, kéo dài hơn 50 giờ, đã đi đến hồi kết.

tiêu đề phụ

11 tháng 8 lúc 23:57

Q: Tại sao bạn muốn trở thành một hacker?

A: Chỉ để cho vui thôi :)

Q: Tại sao bạn chọn Poly Network?

Trả lời: Chuỗi chéo rất phổ biến

Hỏi: Tại sao lại chuyển mã thông báo?

Đáp: Để đảm bảo an toàn.

Tôi đã có cảm xúc lẫn lộn khi lỗi này được phát hiện. Hãy tự hỏi bản thân, bạn sẽ làm gì nếu có quá nhiều của cải ngay trước mắt? Thông báo một cách lịch sự cho nhóm dự án để họ có thể sửa lỗi? Nhưng bất cứ ai cũng có thể là kẻ phản bội, bởi vì đây là một tỷ đô la! Tôi không thể tin bất cứ ai. Tôi không thể tin tưởng bất cứ ai! Giải pháp duy nhất tôi có thể nghĩ đến là gửi tiền vào một tài khoản mà tôi tin tưởng, đồng thời giữ danh tính của tôi được ẩn danh và an toàn. Bây giờ mọi người đều có thể ngửi thấy âm mưu. Nội gián? Tôi không, nhưng ai biết được? Nhiệm vụ của tôi là vạch trần lỗ hổng này trước khi bất kỳ nội gián nào che giấu và khai thác nó!"。

Hỏi: Tại sao lại phức tạp như vậy?

Trả lời: Mạng POLY là một hệ thống tốt. Đây là một trong những cuộc tấn công thách thức nhất mà một hacker có thể tận hưởng. Tôi phải nhanh chóng đánh bại bất kỳ kẻ nội gián hoặc tin tặc nào, tôi coi đó như một thử thách tiền thưởng :)

Q: Bạn đã tiết lộ danh tính của mình chưa?

tiêu đề phụ

12 tháng 8 lúc 00:31

Q: Chính xác thì chuyện gì đã xảy ra trong vụ tấn công 30 giờ trước?

A: Đó là một câu chuyện dài.

Dù bạn có tin hay không, tôi cũng bị buộc phải chơi trò chơi này.

Poly Network là một hệ thống phức tạp và tôi chưa quản lý để thiết lập môi trường thử nghiệm cục bộ. Lúc đầu, tôi không thể đưa ra bằng chứng về khái niệm (POC). Tuy nhiên, khi tôi định bỏ cuộc thì cơ hội đến. Sau khi gỡ lỗi cả đêm, tôi đã tạo một thông báo _SINGLE_ cho mạng bản thể luận.

Tôi dự định tung ra một đòn chớp nhoáng tuyệt vời để nhanh chóng chiếm lấy bốn mạng hỗ trợ Poly: ETH, BSC, Polygon và HECO. Tuy nhiên, đã xảy ra sự cố với mạng HECO! Rơle của nó hoạt động khác với những cái khác, quản trị viên chỉ chuyển tiếp trực tiếp khai thác của tôi và khóa đã được cập nhật với một số tham số sai. Điều này khiến kế hoạch của tôi bị phá hủy.

Lẽ ra tôi nên ngừng tấn công vào lúc đó, nhưng tôi quyết định để chương trình tiếp tục! Điều gì sẽ xảy ra nếu họ bí mật vá lỗi mà không có bất kỳ thông báo nào?

Tuy nhiên, tôi không muốn gây ra sự hoảng loạn thực sự trong thế giới tiền điện tử. Vì vậy, tôi đã chọn bỏ qua những đồng xu tào lao trên Poly để mọi người không phải lo lắng về việc chúng sẽ về 0. Tôi đã lấy những token quan trọng đó (ngoại trừ SHIB) và không bán bất kỳ token nào sau đó.

Q: Vậy tại sao lại bán/trao đổi những stablecoin đó?

Trả lời: Phản hồi ban đầu từ nhóm POLY khiến tôi bực mình.

Họ thúc giục người khác đổ lỗi và ghét tôi trước khi tôi có thể trả lời! Tất nhiên là tôi biết có token DeFi giả, nhưng tôi không coi trọng vấn đề này vì tôi không có kế hoạch rửa tiền.

tiêu đề phụ

12 tháng 8 lúc 00:55

H: Tại sao lại gửi tiền tip 13,37 ETH cho một thành viên cộng đồng?(Lưu ý: Một thành viên cộng đồng có tên "Hanashiro.eth" đã nói với tin tặc không sử dụng USDT thông qua tin nhắn giao dịch và đã nhận được phần thưởng 13,37 ETH từ địa chỉ được liên kết với "PolyNetwork Exploiter".)

A: Tôi cảm nhận được sự ấm áp của cộng đồng Ethereum.

Tôi đang bận điều tra các sự cố HECO và gỡ lỗi tập lệnh của mình. Tôi nghĩ đó là sự cố mạng khiến tôi không thể gửi tiền (tôi sử dụng proxy web phức tạp). Vì vậy, tôi đã chia sẻ thiện chí của mình với anh chàng đó.

Q: Tại sao bạn lại hỏi về Tornado và DAO? (Lưu ý: Tornado thường được tin tặc sử dụng để trộn tiền và rửa tài sản bị đánh cắp)

Đ: Đã chứng kiến ​​rất nhiều vụ hack, tôi biết rằng bỏ tiền vào Tornado là một quyết định khôn ngoan nhưng liều lĩnh. Điều này đánh bại ý định ban đầu của tôi. Sau khi thấy rất nhiều lời cầu xin, việc trở thành một hacker có nguồn lực từ cộng đồng chỉ là một trò đùa của tôi :)

Q: Tại sao tiền được trả lại?

A: Đây luôn là kế hoạch của tôi! Tôi không hứng thú lắm với tiền! Tôi biết mọi người đau khổ khi bị hack, nhưng họ không nên học được điều gì từ rất nhiều vụ hack đã xảy ra trong quá khứ sao? Tôi đã thông báo quyết định trả lại tiền của mình ngay trước nửa đêm, vì vậy bất kỳ ai tin tưởng vào tôi nên đi nghỉ ngơi đi;)

Hỏi: Tại sao tiến độ hoàn vốn hơi chậm?

Trả lời: Tôi cần thời gian để liên lạc với nhóm POLY. Xin lỗi, đây là cách duy nhất tôi biết để che giấu danh tính của mình trong khi vẫn giữ được phẩm giá của mình. Tôi cần nghỉ ngơi chút.

Q: Bạn nghĩ gì về nhóm Poly?

Trả lời: Tôi đã bắt đầu một cuộc trò chuyện ngắn với họ và nhật ký nội dung đều có trên Ethereum. Tôi có thể hoặc không thể đăng những thứ này. Đau khổ của họ là tạm thời, nhưng nó phải không thể nào quên.

tiêu đề phụ

12 tháng 8 lúc 01:13

tiêu đề phụ

12 tháng 8 lúc 02:05

tiêu đề phụ

12 tháng 8 lúc 02:59

Hỏi: Tại sao lại là CEX? Tân binh?

Trả lời: gì cũng được :)

Thách thức chính của vụ hack này là gọi một số hợp đồng với mạng Ontology (phần yêu thích của tôi). Bạn phải lấy một số"Gas",được gọi là"ONG". Nó không phải là mã thông báo DeFi có thể giao dịch và chỉ có thể được tìm thấy trên một số sàn giao dịch (?) của Trung Quốc. Tại sao giao dịch từ Dex nếu bạn phải thông qua CEX? Tại sao bạn nghĩ rằng tôi có thể để lại dấu vết trong DEXes?

Q: Tại sao tôi cần hoàn lại tiền? nhát gan?

Trả lời: gì cũng được :)

Khi bạn đánh giá người khác, bạn không định nghĩa họ, bạn định nghĩa chính mình.

Tôi đã tận hưởng những điều tôi quan tâm nhất: hack và cố vấn.

Rất ít hacker có thể hiểu được tình hình bảo mật của DdeFi. Vâng, bạn thấy rất nhiều vụ hack, nhưng hầu hết chúng không dễ chịu như một hacker thực thụ. Một số mã ngu ngốc dẫn đến rất nhiều thiệt hại, nhưng nó không phải là thử thách. Nó giống như đi lên chống lại một thiếu niên.

Tôi thừa nhận, vụ hack Poly không thú vị như bạn nghĩ, nhưng tôi chắc chắn phải trải nghiệm điều gì đó mới mẻ từ dự án này. Tôi có thể nói rằng việc tìm ra những điểm mù trong cấu trúc mạng Poly sẽ là một trong những khoảnh khắc tuyệt vời nhất trong cuộc đời tôi.

Với sự phát triển của thế giới tiền điện tử, tôi đã có đủ tiền. Tôi đã tìm kiếm ý nghĩa của cuộc sống trong một thời gian. Tôi muốn cuộc sống của mình được tạo nên từ những cuộc phiêu lưu độc đáo, vì vậy tôi thích tìm hiểu và hack mọi thứ để chiến đấu chống lại số phận. Định mệnh ở trong tim tôi.

tiêu đề phụ

Tháng Tám 12 lúc 03:12

tiêu đề phụ

12 tháng 8 lúc 03:34

Các bạn, hãy tự hỏi, nhóm Poly có phải là chủ sở hữu của tài sản không? Họ chỉ là những nhà quản lý quỹ, bạn sẽ dạy họ cách kích hoạt chúng"cửa sau"vì

vì"nạn nhân"tiêu đề phụ

12 tháng 8 lúc 6:09

tiêu đề phụ

12 tháng 8 lúc 23:40

tiêu đề phụ

13 tháng 8 lúc 3:18

Hacker đã để lại lời nhắn trên chuỗi, bày tỏ lời xin lỗi đối với những người dân vô tội bị ảnh hưởng bởi cuộc phiêu lưu của mình:

Địa chỉ băm tin nhắn: 0x78b8d13618af4d1b8facfde5906cb40972ff70b04574de3aa6b2b403329c7b44

tiêu đề phụ

13 tháng 8 lúc 6:18

Tin tặc đã để lại một tin nhắn trên chuỗi, giải thích nền tảng của vụ hack cho cộng đồng.

Hàm băm: 0xf34ee3551be7be57df6643d4ec7e4bdf9fd047d925c3c32a74e64e7428e5f8a9

Hỏi: Tại sao lại là AMA? lời tỏ tình của bạn?

A: Nó giống một cuốn nhật ký hơn. Một cái gì đó tôi tự hào về.

Q: Tại sao trả lại tất cả các khoản tiền?

A: Như tôi đã nói, tôi không quan tâm đến tiền hay vốn.

Q: Rác tiếng Anh?

A: Tiếng Anh không phải là ngôn ngữ đầu tiên của tôi (tiết lộ danh tính). Tôi chỉ bày tỏ cảm xúc thật của mình mà không tô điểm. Gõ trong khi giữ phím "Shift" không dễ dàng.

Hỏi: Mũ đen hay mũ trắng?

A: Tôi cũng thích đánh giá người khác, nhưng điều đó không bao giờ là dễ dàng. Không chỉ một người hợp pháp có thể là một chiếc mũ trắng, mà một chiếc mũ đen cũng có thể là một người tốt. Mọi người có thể thay đổi. Bạn đã bao giờ nghe nói về màu xám?

Q: Mũ trắng có nên thông báo cho các nhà phát triển không?

Trả lời: Đọc P1Q1234. DEFI là một khu rừng tối nơi hàng trăm dự án bỏ chạy mỗi năm. Tôi không tin bất cứ ai.

Q: Tại sao ẩn trong bóng tối?

Đ: Ngay cả khi bạn hợp pháp, bạn vẫn có thể gặp rủi ro vì bất kỳ lý do gì. Những người bảo mật quan tâm đến bảo mật.

Q: Tại sao bạn cần phải giải thích nhiều như vậy?

Đ: Đọc P4Q2. Phần cố vấn có ý nghĩa rất lớn đối với tôi. Tôi muốn chia sẻ cách tôi vượt qua sự kiêu ngạo và tham lam của mình. Tôi không nghĩ thử thách tinh thần dễ dàng hơn phần hack.
Thành thật mà nói, tôi đã rất phấn khích khi EXPOLIT hoạt động đến nỗi tôi gần như quên mất kế hoạch ban đầu vì nó có quá nhiều phỏng đoán và bất ngờ (xem P2Q1). Thông báo đầu tiên (xem P3Q1) khiến tôi quan tâm đến việc làm điều gì đó sáng tạo. Tôi đã dành thời gian tìm kiếm những ý tưởng thú vị nhưng hợp lý từ danh sách tin nhắn của mình.
Tôi (vẫn) khá tự tin vào khả năng ẩn nấp của mình, vì vậy tôi nghĩ mình có thể xử lý trận đấu này miễn là tôi không gây sát thương quá nặng. Sau đó, tôi bắt đầu bình tĩnh lại vì những người tị nạn đó. Vâng, tôi nhận ra rằng chiếm đoạt tiền dù chỉ là tạm thời vẫn là một trò đùa không thể tha thứ và nó gây ra quá nhiều đau đớn.
Với trò đùa "tỷ shitcoin", ý tôi là tiêu đề của sự kiện có thể kịch tính hơn, nhưng kết quả cuối cùng là như nhau: Tôi không từ bỏ shitcoin. Nó hóa ra là một trò đùa khủng khiếp. Đối với trò đùa "DAO", tôi đã hỏi cộng đồng về cách thức và thời điểm hoàn tiền. Đây là một trò đùa vô trách nhiệm.
Tôi hoàn toàn không bị đe dọa bởi các vấn đề phơi bày hoặc rửa tiền (hãy đọc khóa học dành cho tân binh của tôi). Tôi mới nhận ra rằng mình nên thận trọng vì quyết định của mình sẽ thay đổi cuộc đời nhiều người! Nếu tôi để lại các mã thông báo ở đó và thoát khỏi trò chơi, tôi có thể tận hưởng việc trở thành triệu phú và tiếp tục nhiệm vụ của mình như bình thường, nhưng hàng nghìn người sẽ mất quyền kiểm soát vận mệnh của chính họ. Điều này đi ngược lại triết lý cá nhân của tôi (xem P4Q2).
Tôi đã từng viết một email cho POLY, đính kèm một giao dịch ETH đã ký từ một hộp thư ẩn danh. Nếu họ nhận được thư, họ sẽ có thể phát các giao dịch thông qua địa chỉ của tôi. Đó không phải là một bước đi thông minh vì tôi không thể phát bất kỳ tin nhắn mới nào trước họ. Đoán rằng email chắc chắn đã bị mất, tôi đã không nhận được xác nhận từ ETH, nhưng tôi đã đợi hàng giờ cho lỗi này.
Phần tiếp theo của câu chuyện là những gì bạn đã biết. Tôi đã ngừng chơi và lấy lại tiền như tôi đã lên kế hoạch.

Hỏi: Anh không bị lộ, nhưng họ có manh mối nên anh rất sợ!

A: Tôi tự tin hơn bất kỳ ai khác.

Tôi là một hacker nổi tiếng trong thế giới thực (rò rỉ danh tính 2). Tôi làm việc trong ngành bảo mật và đã làm việc với tư cách là một hacker (rò rỉ danh tính) từ khi còn nhỏ. Nghiêm túc mà nói, với tư cách là nhà nghiên cứu bảo mật, công việc của chúng tôi là cứu thế giới ẩn.
Tôi biết tư vấn bảo mật là công việc khó khăn, quan hệ công chúng và danh tiếng có ý nghĩa rất lớn. Tôi không phiền khi nhóm bảo mật tạo quảng cáo dựa trên sự cố của tôi, đặc biệt nếu điều đó giúp ích cho họ. Nêu lên những lo ngại về an toàn cũng là sứ mệnh nghề nghiệp của chúng ta.
Nếu bất kỳ hacker nào có thể tìm thấy danh tính xã hội của tôi trong vòng một tháng, tôi muốn gửi cho anh ta món quà cá nhân của mình. Mặt khác, tôi có thể hoặc không thể đưa ra manh mối khác về danh tính của mình. Chúng ta sẽ chơi một trò chơi?
Mặc dù tôi được công nhận, tôi vẫn tự hào về sự chính trực của mình :)

Bài viết này là từ Babbitt, được sao chép với sự cho phép.