Хакер вернул сервису более 20 млн долларов в криптовалюте

Ай, молодєць!



Даже такое бывает. Еще это мог быть предупредительный взлом, заказанный рассерженным партнером или сотрудником, типа вот что будет, если не сделаете то-то и то-то. Но больше смахивает на дешевый пиар. Кому был известен сервис dForce до этого? Относительно небольшому числу людей. Теперь же, когда история облетела все новостники, известность без вопросов.

 

Меня волнует 2 вопроса:
1 - что такое инсайдерский взлом?
2 - ну знают о нем какую то информацию владельцы сервиса и что с этого? С такими суммами думаю несложно было бы затеряться и остаться в той стране из которой нет экстрадиции.
Видимо дело в другом, либо хакер-альтруист либо это пиар-ход с целью привлечения к крипто-сервису дополнительного мирового внимания, а следовательно и появление новых клиентов.
Лично я склоняюсь к последнему варианту. Хотя и не исключаю что никто никому ничего не возвращал. Почему возврат идет частями? В чем смысл? Ведь можно вернуть все сразу, а не делить.

 

Какая-то непонятная игра. Совершить хакерскую атаку и похитить почти все средства с криптовалютного сервиса - это круто! Но зачем, спрашивается, если хакер возвращает похищенное, но частями и в процессе переговоров? Скорее всего идет торг о вознаграждении за возврат и непреследование хакера или еще за какие-то выставленные условия. Но какие бы ни были причины и следствия, видим как ненадежны все эти криптовалютные сервисы, если хакерам удаются такие фокусы. И еще, если уходит из компании человек, который знаком с "технической частью изнутри", то что эта техническая часть остается незащищенной от таких осведомленных людей?

 

Ну они же указали, что хакер с него неважнецкий. Он пропалился. Поэтому насчет альтруизма - в топку. Причем на этой уязвимости кидали уже не первый раз. Мне чем то уязвимость показалась похожей в играх с выводом денег такое прокатывало. Когда при запросе выплат быстро быстро кнопки нажимались и выплат от незадачливого админа данной экономической игры приходила не одна а допустим пять подряд. Так и тут проблема с повтором запроса на выплату. Может он ликвидаторов проверить хотел, как они работают. В любом случае, уже было столько похожих тренировок на этой системе, что основателю платформы стоило бы побеспокоиться. Просто хакеры сами по себе если изучив код, знают все места, где можно поживиться, причем на якобы законных, как они считают основаниях смарт контракта к примеру.

 

Да уж, но с одной стороны хакера можно понять - зачем столько денег и проблемы с законом? Попробовал свои силы, неожиданно получилось (да так, что сам растерялся), вот и возвращает денежку понемногу. Естественно что переговоры и возврат частями скорее всего нужны только для того, чтоб на почти законных основаниях оставить себе какой-то миллион и избежать травли со стороны правоохранительных органов. А так, красиво выходит: "я хороший, показал вам уязвимое место, деньги вернул, а себе немножечко за труды оставил".
Впрочем, истинные мотивы хакера в СМИ скорее всего не попадут и нам остаются только собственные предположения.

 

Хочу перевести разговор вообще о данном направлении децентрализованных финансов. Пока мы тут какие то местячковые проблемы обсуждаем, многие даже не ориентируются, что на рынке появились новые предложения, куда буквально вваливается куча фиатных средств. Поясню суть дела, вам не надо покупать биткойны. На передовой план сейчас выходят смартконтракты, вы можете получить кредит под залог, потом его вернуть. Причем вам для этого никто не нужен. Все делается в среде приложений, про которые тут разговор и идет. Сейчас на рынок выходят проекты, которые реально пользователям дают интересы для использоввания их ресурсов.

Запомните, что сейчас является трендом. Причем если проанализировать, стоимость транзакций сейчас сравнялась что брать сеть биткойн что эфириум, потому что я вас удивлю, все вваливают в стейблкойны на основе эфириума, потому что в них расчеты и производятся в данной среде.

 

Возможно хакер решил по тренироваться перед более крупным хищением. А деньги вернул просто ради интереса или же испугался, что его вычислят с одной стороны. А с другой стороны, возможно он бывший сотрудник данной биржи. И компания знает некоторые подробности с его жизни, которые не должны по его мнению выйти на всеобщее обозрение. Но, тем не менее ситуация страная возвращением средств, вроде бы пока никто не возвращал наворованое.

 

Может тогда не рисковать по атким проектам, а становиться пользователем криптобиржи Бинанс? Там тоже есть такой вариант криптозайма, когда под обеспечение одной из шести криптовалют берешь стейблкойны, и размер процента варьируется от 8 до 9. Сроки займа неделя, две, месяц, три месяца максимально. Для этого надо быть зарегистрированным пользователем биржи. Все очень просто - под обеспечение вашей криптой можете взять займ и както сама биржа внушает своей надежностью, это не проходная лавочка. А про того хакера, да бог с ним, тут новые услуги в жизнь претворяются, до этого стекинг был, держите монеты определенного вида, на которые начисляется процент, можно просто подписать на проценты ваши криптоактивы и т.д. А то что возвратили по теме, 90% они пользователям вернули, остальные десять...

Хорошо хоть, не юристом).

 

Все проще: хакер сумел взломать китайскую платформу dForсе, но не смог перевести токены на свои счета. Он попробовал их обменять и перевести на ряд децентрализованных бирж. Но представители dForce сразу оповестили и биржи, и полицию, чтобы общими усилиями поймать хакера. Токены имели свои особые степени защиты и помечены так, что какие-то монеты могла принять только платформа Huobi, а какие-то не могла принять никакая площадка. Так что ему и не светило получить то, ради чего все затевалось. К тому же хакер в процессе поиска решения своей задачи допустил ошибку, в итоге стали известны его метаданные, в том числе и его IP -адрес. А дальше - пришлось все вернуть.

 

После возврата похищенных средств все активы были сохранены в холодном кошельке. Средства находятся в безопасности. Умные контракты Lendf.Me были скомпрометированы во время атаки. В результате организаторы на неопределенный срок приостановили действие контракта с Lendf.Me и создали новую систему восстановления активов для возврата похищенных активов пользователям. После возврата похищенных средств все активы были сохранены в холодном кошельке. Организаторы поблагодарили команду PeckShield за помощь в перекрестной проверке данных в цепочке, а также за советы по безопасности и технические рекомендации по восстановлению активов. Они сыграли важную роль в этом процессе. Сам процесс связан с возвращением долгов по ссудам, описана процедура у них на блоге, просили, если что-то неполучается, писать на адрес help@dforce.network.

 

Произошедшее больше напоминает спектакль в театре. Хакер ведет себя неестественно как будто он актер вышедший впервые на сцену и это его первое серъезное выступление. Хотя в жизни бывает всякое. Человек который смог провернуть такую операцию впервую очередь должен был подумать о путях отхода. По логике закер должен был быть уже в таком месте, где ему не будет ничего грозить. Но тут чудесным образом его вычислили. Смог взломать и похитить, но спалился как школьник...

 

Логичный вопрос. Столько прозвучало уже вариантов, а то что система живучая и стала уже трендом займов в сети, все почему то так и не подхватили тему. Хакеры были и будут, атаковать тоже будут. Все зависит от цены вопроса, чем массивнее атака, тем больше средств надо для ее проведения. Как и эфириум, который когда то стоил тысячу долларов, а сейчас плават около 200. А сколько внимания и поддержки системе оказывают, не секрет что используют то стейблкойны да все больше на эфириуме. Это только придает вес системе второй криптовалюты в мире. все же мне кажется система вся эта с криптой громоздкая и не совпадает с реалиями, поэтому центробанки и не торопятся вводить свою. Да и поводов м для воровства меньше будет. Столько воровства в сети криптовалют, сравниво с тем что майнеры намайнили за год почти.

 

Несовсем так

 

Искренне восхищаюсь такими махинаторами, ведь они имеют такой интеллект, что позволяет вскрыть любой сервис, и разработчики обязаны подумать над защитой, и своими "промахами" в работе. Хакер которому удалось провернуть такую операцию, наверное не подумал о том, что за этим последует. Ведь рано или поздно его вычислят, и нападут "на след". Но так или иначе, но он вернул средства, и это говорит о его порядочности, а также и о том, что система защиты слабовата, и над ней нужно поработать.

 

Я считаю, что тут есть несколько аспектов. 1. Не спорю, есть вероятность торгов с хакером и шантаж распространением личной инфы о нем. 2. Пиар. Владельцы проекта решили сделать себе черный пиар. Если украли 25 миллионов баксов, значит о проекте будут говорить все новостники. 3. Последний аспект. Не исключено, что разрабы сами наняли хакера, чтобы последний выявил проблемные места в защите. Ну, и, конечно же, пиар.

 

Все возможно. В случае пиара непонятно, активность в данном разделе, как я читал из новостей все равно не спадает. Да и сервисы аналогичного направления не все же взламывают, уязвимость в новом направлении займов возможно дает определить пути для улучшения, но не методом потерь денег пользователей. Если он повторял запросы миллионы раз, непонятно почему защиту на это не сделают. Есть же защита как на атиспам, на форумах даже нельзя отправлять сообщения чаще чем раз в минуту. Стоит заметить что цена вопроса уже идет на суммы миллиардов, насколько сервисы стали популярными. Не скажешь же, что Бинанс даст возможность что-то у них украть? Тем более % всех проектов почти наполовину в США, в Китае всего 4%, напомню, что кредиты берут для чего - для торговли порой. И еще уточнение вот список проектов, на последнем месте ДФорсе, он использовал платформу lendf.me. MakerDAO стоит на первом месте, 12 марта у них тоже смогли тяпнуть 8 миллионов, а сумма у них сейчас 473 миллиона.

 

Но, если, как вы говорите, данная платформа на столько уязвима для различного вида звломов, то почему так много инветоров до их пор ей доверяют не такие уж и малые суммы средств, или нет больше достойной альтернативы данной, ивестной площадки для крипты?

 

Инвесторы всегда узнают о проблемах, в самую последнюю очередь, и их никто не информирует об уязвимости платформы. Хакеры всех стран "не дремлят", и их интерес, взломать любую систему, и вытащить деньги. Просто не всегда, хакеры оказываются честными людьми и возвращают украденное, им проще, "залечь на дно", и продолжать втихую этим заниматься.