Το πιο ζεστό θέμα Ethereum τον Ιούνιο ήταν οι μυστηριώδεις συναλλαγές που περιελάμβαναν εκατομμύρια δολάρια για τη μεταφορά μικρών έως μεσαίων ποσών Ether (ETH) – μια δραστηριότητα που συνήθως δεν κοστίζει περισσότερο από μερικές δεκάδες σεντς.
Οι ερευνητές κατάφεραν να εντοπίσουν το πιθανό θύμα – μια ύποπτη ανταλλαγή κρυπτογράφησης της Νότιας Κορέας – η οποία είτε αντιμετώπισε ένα μεγάλο σφάλμα ή απειλήθηκε από χάκερ με πολύ περίπλοκο τρόπο. Ποιες είναι λοιπόν οι βασικές θεωρίες πίσω από αυτό που συνέβη και τελικά αυτά τα εκατομμύρια δολάρια θα επιστραφούν στον ιδιοκτήτη τους?
Τι συνέβη?
Μια αλυσίδα συναλλαγών Ether με ασυνήθιστα υψηλά τέλη πραγματοποιήθηκε μεταξύ 10 και 11 Ιουνίου, στην οποία κάποιος φαίνεται να πλήρωσε 2,6 εκατομμύρια δολάρια για τη μεταφορά του ETH, το οποίο κανονικά θα κόστιζε περίπου 0,50 $ έως μερικά δολάρια ακόμη και για εξαιρετικά μεγάλες συναλλαγές. Και συνέβη τρεις φορές.
Η πρώτη μεταφορά πήρε θέση στις 10 Ιουνίου όταν κάποιος μετακόμισε 0,55 ETH, ή περίπου 140 $, και πλήρωσε πάνω από 2,6 εκατομμύρια δολάρια σε τιμές φυσικού αερίου για αυτό. Μέσα σε 24 ώρες, έγινε μια δεύτερη συναλλαγή έκανε από το ίδιο πορτοφόλι, ξοδεύοντας το ίδιο ακριβώς ποσό – 2,6 εκατομμύρια δολάρια – για τέλη, αυτή τη φορά για να στείλετε 350 ETH.
Περιέργως, υπήρχε ένα τρίτη μη φυσιολογική μεταφορά περίπου εκείνη την εποχή, αν και προήλθε από διαφορετική διεύθυνση πορτοφολιού και φαίνεται να είναι ένα μεμονωμένο περιστατικό. Αυτή η συναλλαγή περιελάμβανε 2.310 ETH – ή περίπου 500.000 $ – που πληρώθηκαν για τη μεταφορά 3.221 ETH.
Ο ιδιοκτήτης αυτού του τελευταίου πορτοφολιού έφτασε στο F2Pool – το ορυχείο εξόρυξης που επεξεργάστηκε την εν λόγω συναλλαγή – και κατάφερε αποδεικνύω βιώνει «κακόβουλη επίθεση στο πορτοφόλι κόμβων». Ως αποτέλεσμα, η F2Pool αποφάσισε να επιστρέψει το 90% της τιμής φυσικού αερίου ETH στον αρχικό ιδιοκτήτη και να χρησιμοποιήσει το υπόλοιπο 10% για να χρηματοδοτήσει μια περίοδο εξόρυξης μηδενικών τελών ETH μιας εβδομάδας.
Η ιστορία πίσω από τις δύο πρώτες συναλλαγές, ωστόσο, φαίνεται να είναι πολύ πιο περίπλοκη.
Αμοιβές ανταλλαγής?
Οι αποστολείς ETH μπορούν να ορίσουν μη αυτόματα τις χρεώσεις για τις συναλλαγές τους, ώστε να γίνουν ταχύτεροι σε επεξεργασία, αν και τα περισσότερα πορτοφόλια κρυπτογράφησης προτείνουν μια αυτόματη υπολογισμένη προμήθεια που σπάνια υπερβαίνει τα ETH αξίας αρκετών δολαρίων, εμποδίζοντας τους χρήστες να πληρώσουν υπερβολικά. Ως εκ τούτου, η κοινότητα κρυπτογράφησης αρχικά υπέθεσε ότι η συναλλαγή στις 10 Ιουνίου ήταν ένα ειλικρινές αλλά πολύ ακριβό λάθος.
«Σίγουρα άλλαξαν την αμοιβή με το ποσό που έστειλαν», tweeted Ιδρυτής πρωτοκόλλου blockchain AVA Labs και καθηγητής του Πανεπιστημίου Cornell Emin Gün Sirer. Ο συνιδρυτής της Ethereum Vitalik Buterin σύντομα σύμφωνος ότι ήταν «σίγουρα ένα λάθος». Ανέφερε επίσης μια αναβάθμιση πρωτοκόλλου που θα «μείωνε» την ανάγκη για μη αυτόματη ρύθμιση χρεώσεων: «Περιμένω από το EIP 1559 να μειώσει σημαντικά το ποσοστό των πραγμάτων όπως αυτό συμβαίνει μειώνοντας την ανάγκη των χρηστών να προσπαθήσουν να ορίσουν χρεώσεις με μη αυτόματο τρόπο».
Ομοίως, το Ethermine ETH pool του Bitfly, το οποίο επεξεργάστηκε τη δεύτερη μυστηριώδη συναλλαγή, ερωτηθείς ο αποστολέας να επικοινωνήσει μαζί του σχετικά με αυτό το ατύχημα για να το επιλύσει.
Η θεωρία εκβιασμού
Στις 12 Ιουνίου, η κινεζική εταιρεία ανάλυσης PeckShield παρουσίασε μια πιθανή εξήγηση. Σύμφωνα με τους ερευνητές, τα τέλη πολλών εκατομμυρίων δολαρίων ενδέχεται να είχαν ξεκινήσει από χάκερ που επιδιώκουν να απειλήσουν μια ανταλλαγή κρυπτονομισμάτων για να τους πληρώσουν λύτρα. Σύμφωνα με τη θεωρία του PeckShield, οι χάκερ απέκτησαν περιορισμένη πρόσβαση στις λειτουργικές λειτουργίες της πλατφόρμας, οι οποίες τους επέτρεψαν να στείλουν συναλλαγές σε διευθύνσεις “στη λίστα επιτρεπόμενων” και να ορίσουν τεράστια τέλη για να δείξουν την προθυμία τους να κάψουν όλα τα χρήματα του θύματος. Ο Vitalik Buterin δημοσίευσε σύντομα το άρθρο, συμφωνώντας φαινομενικά με τη νέα εξήγηση:
«Οι χάκερ κατέλαβαν μερική πρόσβαση στο κλειδί ανταλλαγής. δεν μπορούν να αποσύρουν αλλά μπορούν να στείλουν [συναλλαγές] χωρίς αποτέλεσμα με οποιαδήποτε τιμή αερίου. Έτσι απειλούν να «κάψουν» όλα τα χρήματα μέσω [τέλη συναλλαγής] εκτός αν αποζημιωθούν ».
Ο Hartej Sawhney, Διευθύνων Σύμβουλος του πρακτορείου κυβερνοασφάλειας με έδρα τις ΗΠΑ Zokyo Labs, συμφώνησε ότι ένας χάκερ έχει φαινομενικά λειτουργικό έλεγχο μιας ανταλλαγής «και δεν κλέβει κλειδιά αλλά θέτει υψηλές χρεώσεις εξόρυξης σε μεγάλες συναλλαγές».
Συγκεκριμένα, ορισμένοι ειδικοί θεωρούν απίθανη τη θεωρία εκβιασμού. Μιλώντας στον Cointelegraph, ο Alex Manuskin, ερευνητής blockchain στην εταιρεία πορτοφολιών κρυπτογράφησης ZenGo που εδρεύει στο Τελ Αβίβ, υποστήριξε ότι η υπόθεση εκβιασμού «παίρνει κάποιες πολύ ιδιαίτερες περιστάσεις για να είναι δυνατή». Σύμφωνα με τον Manuskin, ο παραβιασμένος λογαριασμός πιθανότατα θα άλλαζε τη συμπεριφορά του αφού συνειδητοποίησε ότι είχε παραβιαστεί, ενώ η διεύθυνση συνέχισε ωστόσο να λαμβάνει και να στέλνει συναλλαγές: ως συνήθως?”
Ο Viktor Bunin, ειδικός πρωτοκόλλου στην εταιρεία υποδομών blockchain και μέλος της Libra Association, BisonTrails, δήλωσε επίσης ότι η θεωρία του εκβιασμού «δεν φαίνεται ρεαλιστική» σε μια συνομιλία με την Cointelegraph: «Αν ήταν μια κατάσταση εκβιασμού, θα περίμενε κανείς να σταματήσει να λαμβάνει χρήματα».
Κατά την άποψη του Bunin, οι συναλλαγές πιθανότατα προκλήθηκαν από “ένα σφάλμα στη λογική του bot ή της επιχείρησής τους που σκουπίζει αυτές τις διευθύνσεις”. Διευκρίνισε: «Η τιμή του φυσικού αερίου ήταν πανομοιότυπη και πολύ συγκεκριμένη και στις δύο συναλλαγές, κάτι που είναι εξαιρετικά απίθανο από το λίπος.» Σύμφωνα με τον Bunin, η διεύθυνση του πορτοφολιού μπορεί να ανήκει σε μια ανταλλαγή που δεν θέλει να εμφανιστεί και να παραδεχτεί ότι έχει παραβιάσει την ασφάλεια τόσο μεγάλη:
«Μια ανταλλαγή θα υποστεί πολύ μεγάλη φήμη, κάνοντας τέτοια τεράστια λάθη, διότι αυτό θα εκθέσει τις ανεπάρκειες του συστήματός τους, θα τους κάνει στόχους για χάκερ και οι χρήστες δεν θα ήθελαν να διατηρήσουν τα περιουσιακά τους στοιχεία μαζί τους. Αυτό θα ήταν καταστροφικό, οπότε μπορεί να έχουν επιλέξει να φάνε την απώλεια. “
Ο Rod Hsu, συνιδρυτής της πλατφόρμας κρυπτογράφησης με έδρα τον Καναδά Coincurve, πρότεινε ότι η εν λόγω διεύθυνση ενδέχεται να έχει ρυθμιστεί ειδικά για δραστηριότητες ξεπλύματος χρημάτων. Πιστεύει ότι έγινε ένας βαθμός χειροκίνητης παρέμβασης ή παράκαμψης στο πορτοφόλι που φαινόταν να χρησιμοποιείται ως διεύθυνση κατάθεσης. Συνέχισε να προσθέτει: «Το αρχικό πορτοφόλι έχει ένα πολύ σταθερό μοτίβο τιμής φυσικού αερίου που χρησιμοποιείται (60 GWei), αλλά ξαφνικά υπάρχει αυτό το απίστευτα υψηλό τέλος φυσικού αερίου που καταβάλλεται, όχι μία αλλά δύο φορές».
Δεδομένου ότι κανείς δεν είχε εμφανιστεί να ισχυρίζεται ότι συνδέεται με τις συναλλαγές με κατάλληλη απόδειξη τη στιγμή που ο Cointelegraph μίλησε με τον Hsu, υπέθεσε ότι «αυτό μπορεί να ήταν μια πράξη πλύσης νομισμάτων μέσω του δικτύου με τη δυνατότητα αυτής της ομάδας να έχει κάποιο μπλοκ ελέγχου αυτές τις δεξαμενές εξόρυξης.
Ομοίως, ο Sawhney είπε στο Cointelegraph ότι «είναι πολύ απίθανο αυτό να είναι λάθος σεναρίου», εξηγώντας περαιτέρω: «Θα στοιχηματίσω ότι ο ιδιοκτήτης του σεναρίου επικοινώνησε με τις ομάδες εξόρυξης δεδομένου ότι αυτά τα νέα έχουν κυκλοφορήσει ευρέως τόσο στα κινέζικα όσο και στα αγγλικά μέσα ενημέρωσης».
Νεότερα ευρήματα
Σύμφωνα με τα τελευταία ευρήματα του PeckShield, η διεύθυνση πορτοφολιού ανήκει σε μια ανταλλαγή κρυπτογράφησης peer-to-peer με έδρα τη Νότια Κορέα που ονομάστηκε Good Cycle, η οποία μπορεί να λειτουργήσει ως μέτωπο για ένα πρόγραμμα Ponzi. Οι ερευνητές πραγματοποίησαν κατάθεση στο Good Cycle και παρατήρησαν ότι η συναλλαγή εμφανίστηκε στην ίδια διεύθυνση πορτοφολιού που έστειλε δύο από τις τρεις ύποπτες συναλλαγές που περιγράφονται παραπάνω.
Ο συνιδρυτής της PeckShield, Jeff Liu, εξηγεί πώς κατάφεραν να βρουν τον ιδιοκτήτη του πορτοφολιού για το Cointelegraph: «Χρησιμοποιώντας τα εργαλεία και τα δεδομένα μας, βρήκαμε τις ενδείξεις και επαληθεύτηκε με μη αυτόματη εγγραφή λογαριασμού στον ιστότοπο του Good Cycle».
Επιπλέον, η έκθεση τόνισε ότι η ασφάλεια της ανταλλαγής φαίνεται ασταθής. Για παράδειγμα, το Good Cycle δεν χρησιμοποιεί καν το κρυπτογραφημένο πρωτόκολλο HTTPS για τον ιστότοπό του. Ο Liu επισημαίνει ότι η επιχείρηση της Νότιας Κορέας μπορεί να είναι μια απάτη: «Ο καλός κύκλος φαίνεται να είναι ένας ιστότοπος απάτης, το Σχέδιο Ponzi να είναι ακριβές, αν και αυτό το περιστατικό δεν φαίνεται να αποτελεί μέρος της απάτης».
Ο Liu διευκρίνισε ότι παρόλο που δεν είναι ακόμη σαφές εάν η Good Cycle δέχθηκε επίθεση ή έχασε χρήματα κατά λάθος, «είναι το θύμα σε αυτό το συμβάν, με την έννοια ότι πλήρωσαν το τεράστιο τέλος συναλλαγής».
Σύμφωνα με μια ανακοίνωση από το Good Cycle που μοιράστηκε η PeckShield, η πλατφόρμα περιέγραψε ότι υπέστη hack, στη συνέχεια σταμάτησε τις αποσύρσεις και έκανε μια «αναβάθμιση ασφαλείας». Σύμφωνα με μια έκθεση των μέσων ενημέρωσης της Νότιας Κορέας, η Good Cycle αποκάλυψε ότι «ο εισβολέας επιτέθηκε στον καλό κύκλο αρκετές φορές και έκανε 3 ψεύτικα αναγνωριστικά για να αποτρέψει καταθέσεις και αναλήψεις».
Η ανταλλαγή έχει περιορισμένη παρουσία στα μέσα κοινωνικής δικτύωσης και φαίνεται να μην περιέχει στοιχεία επικοινωνίας στον ιστότοπό της. Σύμφωνα με βίντεο που ανέβασε ένας χρήστης του YouTube που προσδιορίζει ο ίδιος ως «ο ηγέτης» της εταιρίας κρυπτογράφησης της Νότιας Κορέας Karatbars (η οποία έχει επισημανθεί ως πιθανό σχήμα πυραμίδας), ο Good Cycle είναι μια επιχείρηση που βασίζεται σε ανταλλαγές προσελκύει πελάτες να εγγραφούν σε συνδρομή.
Τι συνέβη στον Καλό Κύκλο?
Παρά τα πρόσφατα ευρήματα και μια ανακοίνωση από το Good Cycle, οι εξαιρετικά υπερτιμημένες συναλλαγές παραμένουν μυστήριο, λέει ο Liu, «Στην πραγματικότητα δεν μπορούμε να είμαστε σίγουροι για το τι συνέβη ακριβώς. Αυτό που γνωρίζουμε είναι ότι ο Good Cycle πλήρωσε το τεράστιο τέλος συναλλαγής, είτε επειδή κάποιος τους επιτέθηκε είτε κάποιο λάθος από την πλευρά του. “
Το Good Cycle επιβεβαίωσε φαινομενικά ότι δέχθηκε επίθεση, καθώς στις 17 Ιουνίου, το χρηματιστήριο έστειλε δύο συναλλαγές στο Αιθερμίνη και SparkPool με ένα μήνυμα που λέει: “Είμαι ο αποστολέας.” Συγκεκριμένα, συνέβη αφού ο PeckShield ανέλαβε τον Good Cycle ως πιθανό θύμα. Οι ειδικοί ξέρουν γιατί δεν μπορούσαν να μεταφερθούν τα χρήματα νωρίτερα. Ο Manuskin είπε στον Cointelegraph:
«Αυτός είναι ο ελλιπής σύνδεσμος στη θεωρία ransomware. Εάν η υπηρεσία είχε ακόμα την επιμέλεια του κλειδιού, θα μπορούσαν να είχαν επικοινωνήσει νωρίτερα με τους ανθρακωρύχους, καθώς και να μετακινήσουν τα χρήματα όπως έκαναν. “
Φαίνεται ότι το Good Cycle έχασε και τις δύο προθεσμίες που έθεσαν οι Ethermine και Sparkpool. «Τώρα τα χρήματα έχουν ήδη διανεμηθεί από τις ομάδες εξόρυξης, οπότε δεν θα επιστραφούν στον λογαριασμό», δήλωσε ο Manuskin. Πράγματι, στις 15 Ιουνίου, τέσσερις ημέρες μετά την πραγματοποίηση των μυστηριωδών συναλλαγών, το Etheremine pool ανακοινώθηκε την απόφαση να διανείμει το τέλος στους ανθρακωρύχους του, εξηγώντας ότι κανείς δεν τους πλησίασε ισχυριζόμενος ότι είναι ιδιοκτήτης. Το SparkPool ήταν προγραμματισμένος να κάνει το ίδιο στις 16 Ιουνίου. Ο Cointelegraph έφτασε και στα δύο συγκροτήματα για να επιβεβαιώσει ότι είχαν διανείμει τα τέλη προτού τους προσεγγίσει η Good Cycle, αλλά δεν έλαβε απάντηση από την ώρα του Τύπου.
Εάν ήταν ένα σφάλμα, αυτό σημαίνει ότι το θύμα παρατήρησε τη διαφορά μόνο τέσσερις ημέρες μετά την απώλεια εκατομμυρίων δολαρίων, πρόσθεσε ο Manuskin. Κατά συνέπεια, εάν ο Good Cycle δέχθηκε επίθεση από χάκερ, φαίνεται ότι μπόρεσαν να ανακτήσουν τον έλεγχο του διακομιστή τους μόλις πρόσφατα σύμφωνα με τον Manushkin: «Και οι δύο περιπτώσεις υποδηλώνουν πλήρη παραβίαση κεφαλαίων και βασική λειτουργική ασφάλεια, επομένως είτε η [θεωρία] είναι ακόμα δυνατή “
Παρ ‘όλα αυτά, φαίνεται ότι ο Good Cycle επιστρέφει σε ό, τι έκανε πριν χάσει εκατομμύρια δολάρια. Την ίδια στιγμή, η ανταλλαγή της Νότιας Κορέας πλησίασε τις δεξαμενές εξόρυξης με το μήνυμα «Είμαι ο αποστολέας» μετακινήθηκε τα υπόλοιπα κεφάλαια – περίπου 18.000 ETH, ή περισσότερα από 4 εκατομμύρια $ – σε μια νέα διεύθυνση, η οποία εκτελεί τώρα τις ίδιες ενέργειες με τις προηγούμενες, αν και οι συναλλαγές με ασυνήθιστες τιμές.