- Тема
69k Популярность
27k Популярность
8k Популярность
4k Популярность
4k Популярность
30k Популярность
16k Популярность
23k Популярность
12k Популярность
3k Популярность
- Закрепить
69k Популярность
27k Популярность
8k Популярность
4k Популярность
4k Популярность
30k Популярность
16k Популярность
23k Популярность
12k Популярность
3k Популярность
в блокчейне “招安”: GMX как с помощью 10% награды “уговорил” хакера вернуть гигантскую сумму?
Автор Люк, Mars Finance
В мире криптовалют самые дорогие две буквы, возможно, это «OK».
Когда адрес успешно "извлек" активы на сумму 42 миллиона долларов из протокола GMX, этот загадочный хакер, столкнувшись с "письмом о мире", отправленным проектом в цепочке, не стал говорить длинные речи и хвастаться своими навыками, а просто холоднокровно ответил двумя буквами в одной транзакции: "ok". Затем большая часть средств была возвращена по тому же маршруту.
Эта фраза "ок", положила конец учебно-классной атаке DeFi и открыла множество вопросов у людей: как же так, что приготовленная утка снова улетела? Что на самом деле думает этот "ученый", который добился успеха? Это внезапное осознание совести или за этим кроется что-то другое?
Это не просто история о "воре по правилам". Это скорее западное противостояние, происходящее на цифровом бездорожье, где оружием сторон являются код, теория игр и точные расчеты человеческой жадности и страха. Чтобы понять, почему хакер вернул деньги, нам нужно вернуться к той захватывающей атаке и увидеть, как этот "мастер" осуществил этот "забавный трюк".
"Блицкриг": точечный удар, как хирургическая операция
Перед атакой GMX был самым ярким представителем экосистемы Arbitrum, обладая общей заблокированной стоимостью (TVL) более 450 миллионов долларов и огромным числом пользователей, что сделало его «счастливым домом» для множества трейдеров. Как говорится, большой дерево привлекает ветер, и оно, естественно, стало «подвижным сейфом» в глазах топовых хищников.
9 июля этот хакер начал действовать. Он не выбрал метод грубой силы, а как опытный хирург, нашел в коде GMX V1 скрытую «проблему», глубоко закопанную. В центре этой атаки лежит «уязвимость повторного входа», о которой в индустрии говорят с ужасом, но схема была усовершенствована. Этот мастер не сломя голову бросился в атаку, а идеально объединил повторную атаку с другим логическим дефектом протокола GMX при расчете общей стоимости управления активами (AUM), разыграв спектакль «четыре унции против тысячи фунтов».
Проще говоря, он как азартный игрок, который одновременно может быть "судьей" и "атлетом". В момент открытия позиции он использовал уязвимость для влияния на расчет глобальной цены, создав "искусственно" крайне выгодную для себя цену, а затем сразу закрыл позицию и сбежал с деньгами. Весь процесс прошел легко и непринужденно, демонстрируя, что его понимание основного кода GMX уже превосходит большинство людей.
Действия после успешного взлома наглядно продемонстрировали его "профессионализм". Сначала средства были "помыты" через Tornado Cash для сокрытия следов, затем произошло одно ключевое действие: он быстро обменял похищенные большие объемы стабильной валюты USDC на децентрализованный DAI. Этот шаг кажется излишним, но является образцовым примером хеджирования, и он заложил важнейшую основу для его последующих "компромиссов".
Реакция рынка была пугающе реальной. Цена токена GMX резко упала, понизившись почти на 28% за несколько часов, в сообществе царила уныние, а команда проекта срочно "выдернула шнур", приостановив соответствующие функции, чтобы предотвратить дальнейшую утечку средств из казны.
Цифровое сообщение в цепочке: кибер-награда, наполненная угрозами и соблазнами
В условиях кризиса команда проекта GMX не решила сообщить в полицию, а сделала что-то очень «криптовалютное» — обратилась к хакерам в блокчейне. Они отправили транзакцию на адрес хакеров с тщательно составленным посланием, в котором содержался «призыв к сдаче»:
"Брат, мы уже оценили твои навыки. Теперь у тебя есть возможность оставить 10% (около 5 миллионов долларов) в качестве 'вознаграждения белого шляпы', а оставшиеся 90% вернуть в течение 48 часов, и мы закроем этот вопрос, не будем преследовать. Надеюсь, ты сделаешь этичный выбор."
Этот набор «морковка и большой палка» можно считать стандартным PR-процессом после кражи в мире DeFi. Морковка — это та сумма, которая может сделать любого финансово независимым, а большая палка — это скрытая юридическая угроза «без последствий». 48-часовой обратный отсчет создает огромное психологическое давление на хакера, не оставляя ему достаточно времени для спокойной отмывки денег.
В ответ на этот «ультиматум» хакера можно назвать гениальным. Без оправданий, без насмешек, всего лишь одно «ок». Кратко и ясно, но с полным стилем, как будто он говорит: «Понял, действуем по процессу.»
Калькуляция хакера: почему "жирный кусок" нужно выплюнуть?
Хакеры действительно были тронуты этими словами и решили стать Буддой? Конечно, нет. За этим стоит холодный до предела расчет выгод и рисков.
Во-первых, это сделка с гарантированной прибылью. Перед хакером стоят два варианта: план A - попытаться отмыть все 42 миллиона долларов. Но эта огромная сумма уже находится под пристальным вниманием мировых блокчейн-детективов (таких как PeckShield, SlowMist), каждое движение будет транслироваться в прямом эфире. Ему нужно будет играть в кошки-мышки с регуляторами, использовать высокорисковые средства для отмывания денег и постоянно бояться, что на каком-то этапе что-то пойдет не так, и активы будут заморожены. План B - сдаться, забрать 5 миллионов долларов «легкой» награды. Эти деньги практически без риска, проектная команда лично гарантирует, что трудности с отмыванием и риск быть пойманным сведены к минимуму.
Для рационального «экономического человека», стремящегося максимизировать свою прибыль, вопрос стоит в том, выбрать ли бегство с грузовиком золота через свист пуль или же спокойно забрать ящик алмазов и вернуться домой спать? Ответ очевиден.
Во-вторых, и это самый ключевой момент, это «меч Дамокла», висящий над его головой — «задняя дверь» централизованных стейблкоинов. Почему хакер так спешит обменять USDC на DAI, как только получает доступ? Потому что он прекрасно понимает, что такие эмитенты стейблкоинов, как Circle (USDC) и Tether (USDT), по сути, являются централизованными компаниями. У них есть возможность и они неоднократно выполняли требования правоохранительных органов, замораживая активы на любых адресах. Это означает, что десятки миллионов USDC на его адресе в любой момент могут превратиться в ряд бесполезных цифр. Эта «централизованная уязвимость», существующая в «децентрализованных финансах», является самой сильной картой, которая заставляет его вернуться за переговорный стол.
В конце концов, мы увидели эволюцию роли хакера: от разрушителя до "профессионального охотника за наградами". Ранние хакеры, возможно, имели немного идеализма или желания продемонстрировать свои навыки, например, атакующий Poly Network оставил длинное сообщение, назвав себя "для развлечения". Но современные топ-хакеры становятся все более прагматичными. Их логика действий больше напоминает: обнаружить уязвимость с высокой стоимостью → доказать ее ценность с помощью "шокирующей атаки" → заставить проект заплатить сумму, значительно превышающую обычную Bug Bounty, в виде "супернаграды". Скорее, можно сказать, что они являются "охотниками за уязвимостями", находящимися на грани закона, а GMX в этот раз, к сожалению, стал их жертвой.
Заключение: Хрупкое новое равновесие Дикого Запада
Событие GMX закончилось необычным образом: большая часть активов пользователей была восстановлена, проект сохранил свою репутацию, а хакер исчез с крупной суммой денег в безбрежном океане адресов.
Этот инцидент идеально иллюстрирует «хрупкое равновесие» в современном мире DeFi. С одной стороны, прозрачность блокчейна не оставляет места для злонамеренных действий; с другой стороны, зависимость DeFi от централизованных учреждений оставляет возможность для противодействия. Эти два фактора вместе создают новую парадигму «атака-переговоры-награда».
Как сказал анонимный эксперт по переговорам с белыми шляпами, хотя выплата 10% вознаграждения хакерам может показаться поощрением преступления, "когда вы сталкиваетесь с обычными пользователями, чья жизнь и состояние находятся на кону, им не важны никакие принципы, они просто хотят вернуть свои деньги."
Безопасный путь DeFi труден и долог. Прежде чем появится абсолютно безопасный код, эта цифровая Дикий Запад продолжит разыгрывать захватывающие противостояния, переплетенные кодом, деньгами и человеческими отношениями. А история GMX — это лишь один из захватывающих эпизодов в этой вечной игре в кошки-мышки.