19歳のEulerハッカー、2億ドルを前に3週間ためらう

原文タイトル：《HE STOLE $200 MILLION. HE GAVE IT BACK. NOW, HE'S READY TO EXPLAIN WHY》
原文出典：Coinage
原文著者：Zack Abrams
原文編集：Zack Guzman

2023年3月13日、わずか18分の間に、ハッカーが人気の貸出プラットフォームであるEuler Financeから約2億ドル相当の暗号通貨を盗み出しました。これは今年最大の盗難事件です。わずか3週間後、彼は取引を取り消し、盗んだものをすべて返還しました。

ハッカー事件が発生して以来、行動の責任者が初めて事件についての見解を説明し、彼はこのお金を保持するつもりは全くなかったと主張しました。

Coinageは自称ハッカーの男性、若いアルゼンチン人のフェデリコ・ハイメ（Federico Jaime）と話をしました。この主張は他の重要な証拠によって裏付けられています。これが彼の物語です。

画像出典：Instagram @federicojaimeok

ローマの涼しい3月の夜、午前3時頃、フェデリコはバーの外で友人を待ちながら神と話をしていました。この19歳のアルゼンチン人は、過去1ヶ月間ずっと何かを探していましたが、まだ見つかっていませんでした。彼はなぜなのかを考えていました。

「神様、もし私のすべてのプロジェクトが1ヶ月で完了するなら、なぜ今回はそうではないのか？」彼は空を見上げながら心の中で考えました。「なぜ以前は私の言葉を聞いていたのに、今は聞こえないのか？」彼は宿泊先に戻るまでに数時間を要しました。

ようやく家に帰ったとき、彼はいつものように眠れませんでした。そこで、彼は仕事をすることに決めました。

フェデリコの祈りはほぼ瞬時に応えられ、まるで予言のようでした。彼はずっと探していたものを見つけました：暗号通貨貸出プログラムのコードにある脆弱性です。彼はすぐにその発見を利用し始めました。

「私が働くとき、私はアーティストや作家のように働く」とフェデリコは後に電話で彼の第二言語である英語で私に語りました。「ミューズを目覚めさせるためには、睡眠不足は良いことです。」

次の2日間、フェデリコは眠れませんでした。彼がイタリアの病院のベッドで目を覚ましたとき、彼の資産は2億ドル増えていましたが、彼は背中に呪いを刻まれたように感じていました。

画像出典：Instagram @federicojaimeok

暗号通貨の世界は透明性に依存しています。すべての取引------友人への送金、NFTの購入、ローン------は公開されており、取引は不可逆的です。ブロックチェーン上で動作するアプリケーション（スマートコントラクトと呼ばれる）も同様に公開されており、誰でもコードを自分で確認できます。

過去数年で人々の暗号通貨への関心が高まる中、分散型金融アプリケーション業界全体も急成長し、暗号通貨投資家がトークンを交換し、ローンを取得し、価格変動にレバレッジをかけて賭け、利息を得ることを可能にしました。現在、約450億ドルの暗号通貨がDeFiプロトコルにコミットされています；2021年秋にはこの数字が1750億ドルを超え、モルガン・スタンレーが保有する全預金額に相当します。

DeFiは暗号通貨愛好者に刺激的な金融革新を提供し、暗号通貨分野の急速な発展と緩やかな規制に適応しています。担保なしで2億ドルを借りたい場合や、DOGEやPEPEなどの「ミーム」暗号通貨で投機したい場合、DeFiが唯一の選択肢です。

一方で、ハッカーはDeFiをさまざまなデジタル銀行の金庫と見なし、各金庫には公共の設計図（オープンソースのコード）があり、実際には誰かに強盗を試みるよう招待しているのです。暗号通貨研究会社Chainanalysisのデータによると、DeFiプロトコルは暗号通貨ハッカーの主要な標的となっており、2021年にはDeFiから22億ドルを盗み、2022年には31億ドルを盗みました。これはその年に盗まれた暗号通貨の総額の80％以上を占めています。

これまでのところ、最も成功した暗号通貨ハッカーはラザルスグループ（Lazarus Group）で、2022年にラザルスが盗んだ17億ドルのうち11億ドルがDeFiの脆弱性から来ています。

終わりのない攻撃に直面して、DeFiプロトコルの対応策は、セキュリティ会社を雇ってスマートコントラクトを監査し、脅威を監視し、さらにはホワイトハットハッカー（脆弱性をマークして報酬を得るハッカー、つまりその脆弱性を悪用するブラックハットハッカーではない）を誘引することです。自分のために脆弱性を盗む。厳格な監査を受け、あらゆる予防策を講じたDeFiプロトコルでさえ、強力なハッカー攻撃の犠牲になる可能性があり、その攻撃者は時には19歳の子供であり、神が彼の側にいるのです。

画像出典：Instagram @federicojaimeok

すべては1行のコードで防ぐことができます。

ホテルに戻ると、ローマの空に太陽が昇る中、フェデリコはロンドンのスタートアップ会社Euler Labsが開発したDeFi貸出プロトコル「Euler Finance」を研究し始めました。Eulerは、ユーザーが預けた担保の価値の最大10倍のローンを引き出すことを許可します；1万ドルを投入すれば、10万ドルのように取引できます。しかし、暗号通貨は変動性があり、価格が間違った方向に動くと、ユーザーの預金は担保の回収を保証するには不十分になる可能性があります。これが、ユーザーがEulerと相互作用するたびに、プラットフォームがアカウントの健全性をチェックし、健全性スコアが低すぎると自動清算がトリガーされる理由です。

しかし、フェデリコは存在しないものを見ました：単一のEulerスマートコントラクト内の単一の関数に健康チェックが欠けていました。わずか数時間の研究で、フェデリコはEulerチームや数人の独立したスマートコントラクト監査人が見落としていた点を発見しました。

「これはただの神聖なインスピレーションです。私のミューズを目覚めさせただけです。」フェデリコは言いました。「正確には、探していたものを1ヶ月後に見つけたのです……私は見つけました。」

フェデリコは攻撃を計画し始めました。3月13日、2日間の不眠不休のプログラミングの後、彼はほぼ実行の準備が整いました。唯一の問題は、彼がスマートコントラクトをデプロイする方法を知らず、それにどれだけの費用がかかるのかもわからなかったことです。

「私はGoogleで「スマートコントラクトのデプロイコストはどれくらいですか？」と検索しました。すると……「5000ドルから50000ドルまで」と書かれた記事を見つけました。」フェデリコは、彼が感じた信じられない思いを声を大にして語りました。「WTF」

しかし、フェデリコは前進を続け、最終的に実際の契約デプロイコストははるかに低いことを理解しました。この時、彼は最後に寝たのが数日前であることを考え、フェデリコはお金のことを全く考えていなかったと言います。「私はこれを実験だと思っていました。ただの実験です」と彼は説明しました。「それが機能するかどうかはわからなかった……私はスマートコントラクトをデプロイできるかどうかもわからなかった。私の疑念は確信よりも多かったのです。」

「だから私はこの脆弱性と自分自身を本当に過小評価していました。なぜなら、それは最終的に機能したからです。」彼は付け加えました。

2023年3月13日午前9時54分、イタリア時間、フェデリコはコンピュータの前に座っていました。18分の間に、彼がEuler Financeに対する攻撃を開始するために使用した3つのウォレットが、そのプロトコルから1.97億ドル相当の暗号通貨を盗みました。これらの資金は最終的に1つのウォレットに全て入金されました------それは山のような百ドル札で満たされた仮想の旅行バッグでした。

「最初は、これはとても興奮すると思いました。私は巨大なプロトコルをハッキングしました、そして次に、わあ、2億ドルです。これは私の背中の呪いです。」

フェデリコはまだ眠れず、彼はホテルのコンシェルジュに救急車を呼ばせました。

画像出典：Instagram @federicojaimeok

最初に異常を発見したのはロボットであり、一部の暗号セキュリティ会社がDeFiプロジェクトにリアルタイムの脅威監視と警告を提供しています。Eulerハッカー事件では、少なくとも2社のセキュリティ会社FortaとHypernativeが攻撃開始前に警告を受けていました。

残念ながら、コメントを拒否したEuler Labsにとって、自動警告は攻撃開始の数分前にしか発信されず、このロンドンに本社を置くスタートアップにとってプロトコルの安全を守るにはまだ早すぎました。（「私たちは攻撃のタイミングを通常1分から1時間の間で予測しています。」Fortaのマーケティングマネージャー、アレックス・ベーレンズは言いました。）

イギリス時間の3月11日月曜日午前8時59分、ブロックチェーンセキュリティ会社PeckShieldはソーシャルメディアで「こんにちは @eulerfinance：あなたは一度見ておくべきかもしれません」と投稿し、ウォレットがEulerのDAIステーブルコイン供給を攻撃し、870万ドル以上の資金を盗んだことを示すページへのリンクを提供しました。

その後、皆はEulerが次々と攻撃されるのを見守りました。ハッカーは1850万ドルのWBTCを盗み、次に1.16億ドルのstETHを盗みました……最終的にハッカーは1.97億ドルを得て、Eulerの全6つのトークン準備金は消失しました。

午前9時56分、EulerはソーシャルメディアでPeckShieldのメッセージを引用し、「私たちは知っています。私たちのチームは現在、安全専門家や法執行機関と協力しています。さらなる情報が得られ次第、すぐに発表します。」と述べました。

暗号通貨であるため、誰もがハッカーのウォレットにある資金を見ることができます。そのウォレットの取引を確認することで、セキュリティ専門家は攻撃を逆解析し、盗難の原因となった単一の脆弱性を最終的に発見しました。しかし同様に、暗号通貨であるため、Eulerのチームはそのウォレットを現実の身元に関連付けることができず、ハッカーの意図を理解することもできませんでした。

3月13日、ハッカーの最後の行動は、トルネードキャッシュを通じて100ETH（当時の価値で168,000ドル）を送信することでした。トルネードキャッシュは、資金を追跡しにくくするためのEthereum上の「ミキシング」取引プロトコルです。その後、そのウォレットアドレスは沈黙しました。

その夜10時47分、Eulerチームはハッカーのウォレットにメッセージを送りました。「私たちは、あなたが今朝Eulerプラットフォームに対して攻撃を行った責任があることを理解しています。私たちは、あなたが今後の可能なステップについて話し合うことに興味があるかどうかを知りたいと思っています。」この試みのコミュニケーションは、Eulerチームが厳しい3週間を迎えることを示していました。

翌日の夜9時22分、Eulerチームは再びハッカーのウォレットにメッセージを送り、盗まれた資金の90％を24時間以内に返還することを提案しました------ハッカーが事実上2000万ドルの脆弱性報酬を保持できるように。さもなければ、Eulerはハッカーの逮捕に至る情報を提供した者に100万ドルの報酬を提供すると発表しました。

ハッカーは応答しませんでした。

3月15日午前11時20分、Eulerチームは再びハッカーのウォレットに別のメッセージを送り、以前の脆弱性報酬提案を再確認しました。Eulerチームは「その後、調査を停止し、焦点をユーザーに資金を分配することに移すことができます。法的手段を取る必要はありません。」と書きました。

その夜10時06分、ハッカーが沈黙を続ける中、Eulerチームは100万ドルの報酬を発表し、ハッカーの逮捕と資金回収に至る情報を提供した者に報酬を与えることを発表しました。翌日、Eulerの共同創設者兼CEOのマイケル・ベントリー博士は、この攻撃に対する彼の反応を共有し、数日前が彼の人生で最も困難な数日だったと述べ、影響を受けたユーザーに対する悲しみを表明しました。

「私は生まれたばかりの息子と過ごす時間を犠牲にしなければなりませんでした」とベントリーはツイッターで書きました。「私は攻撃者を決して許さないでしょうが、彼らは間違いを正し、できるだけ早く資金をEulerDAO Treasuryに返還することができます。」

画像出典：Instagram @federicojaimeok

フェデリコ・ハイメは、彼がこのお金を保持するつもりはなかったと主張しています。「私は最初から2億ドルが小さな数字ではないことを知っていました。これはDeFiコミュニティに巨大な損害を与えることになるでしょうが、それは私の目標ではありませんでした。」

私たちは皆、たとえ一瞬でも、フェデリコが2億ドルで何が買えるか考え、豪邸に住む自分を想像したことがあるのかを知りたいと思っていますか？ヨットに乗って？

「全くありません、全くありません。なぜなら、私は起業家だからです。私は合法的に、完璧にお金を稼ぐことができ、盗む必要はありません。他人のお金を取る理由もありません。」

ほとんどの人にとって、このようなコメントはせいぜい白い目を引くだけです。結局、暗号コミュニティはその謙虚さで知られているわけではありません。しかし、私はフェデリコがヨーロッパを旅し、5つ星ホテルに宿泊し、デザイナーストリートウェアを着ている写真を見たことがあります。私たちが電話と時折のメッセージで行った会話の中で、今年6月に20歳になるフェデリコに、彼がどのように自分のライフスタイルを維持しているのかを尋ねました。

フェデリコはブエノスアイレスで両親と妹と一緒に育ちました。ソフトウェアエンジニアの父親に触発され、彼は12歳でプログラミングを学び、14歳で彼の最初のプログラム------ビデオゲーム「マインクラフト」のプラグインを1万ドルで販売しました。「これは自由を意味しました。なぜなら、私はもう両親にお金を求める必要がなく、彼らは私を応援してくれました。」

成長するにつれて、フェデリコは新しいゲーム「GTA V」に目を向け、そのゲームの熱心なファンのためにカスタムマルチプレイヤーサーバーを運営するためのチート防止システムを開発しました。「私はメモリ読み取りエラーを発見しました。私たちがそこから利益を得られることを見ました。」フェデリコは言い、ソフトウェアFiveGuardは現在他の人のものになっていると付け加えました。「これは特別です。なぜなら、あなたが不公平な優位性を持ってゲームサーバーに入ると、すぐに禁止されるからです。」

フェデリコは法科大学院に進学する予定でしたが、2020年に卒業し、新型コロナウイルスの影響を受け（ブエノスアイレスでは多くの制限と長い隔離期間がありました）、フェデリコは両親の同意を得て大学に入る前に長期休暇を取ることに決めました。

昨年10月初め、フェデリコはローマに行きました。昨年12月、彼はアルゼンチン、メキシコ、ペルーで運営されている暗号通貨取引プラットフォームBuenbitを狙い、数十万ドルを盗んだとされています。BuenbitのCEOフェデリコ・オゲはこの攻撃を詐欺と定義しました。ニュース報道は警察の情報筋を引用し、この攻撃の損失は80万ドルであると述べましたが、フェデリコはこの数字を否定しました。

フェデリコは事件の詳細についてコメントを控えていますが、彼はBuenbitをターゲットにしたことを認めつつ、メディア報道の多くの詳細が誤解を招くものであるか、完全に捏造されたものであると主張しています。この20歳の男性はこの事件で無罪を主張し、彼と彼の弁護士がBuenbitのチームと連絡を取り合っており、早急に解決したいと考えていると述べました。

そして、わずか数ヶ月後、フェデリコは新たな懸念を抱えることになりました。今度は2億ドルです。

画像出典：Instagram @federicojaimeok

攻撃が発生したとき、Euler Financeは最大7000人のユーザーを抱えていました。2日後の3月15日、被害者の1人がハッカーのウォレット（フェデリコのウォレット）にメッセージを送ることに決めました。

「90％/80％を返すことを考慮してください。私は78 wstETHしか持っていないユーザーであり、私の生涯の貯蓄をEulerに預けた者です。私はクジラでも百万長者でもありません。」DL Newsは、このユーザーがサンティアゴ・アバロスという名のアルゼンチンのブロックチェーン開発者であることを確認しました。彼は「あなたが想像できないほどの混乱に陥っており、完全に壊滅的です……あなたの決定は、多くの影響を受けた人々に安堵をもたらすでしょう。」と書きました。

アバロスの生涯の貯蓄である78 wstETHは当時140,000ドル以上の価値がありました。アバロスがメッセージを送信してから13時間後、フェデリコは応答しましたが、テキストメッセージではありませんでした。代わりに、ハッカー攻撃から3日後、フェデリコはアバロスに100ETHを送信しました。これは被害者がEulerの崩壊で失った価値を約2.7万ドル上回っていました。アバロスは余分な資金をEulerに返したと述べ、「私は彼が私のメッセージに感動した可能性があると信じています。」と言いました。

「これは私の真心からの行為です」とフェデリコは資金を返還する動機について語りました。「私はその時とても寛大でした。また、後にこの人が……アルゼンチン人であり、Solidity開発者であることを知りました。」と彼は付け加えました。「これは本当に非常に興味深い偶然です。」

フェデリコはまだ資金移転を完了していません。彼はすでに2回、トルネードキャッシュを通じて自分に1100ETHを送信しており、彼の利益は約200万ドルに達しています。私が彼にその理由を尋ねると、フェデリコは「私はあまり考えませんでした。彼らが私に10％の報酬を与えてくれたら、私にとっては十分すぎると思いました。私はその中の1％を取るつもりでした。」と答えました。

彼の次の行動は、これまでで最も混乱を招くものでした。3月17日、午前5時前に、フェデリコは再び100ETHを送信しました。今度は悪名高いウォレットに送信されました。このウォレットは、1年前に歴史上最大の暗号通貨ハッキングの1つを実施し、Ronin Bridgeから6億ドル以上を盗みました。わずか1ヶ月後、アメリカ財務省外国資産管理局（OFAC）は正式にRonin Bridgeの脆弱性を韓国のラザルスグループに関連付けました。

しかし、私が彼にこの件について尋ねると、彼の説明は私を驚かせました。「私はこれが北朝鮮だとは全く知りませんでした。私は疑うことはありませんでした。」彼は言い始めました。「私がRoninの利用者に100ETHを送信した理由は純粋に敬意からです……私はホワイトハットハッカーからブラックハットハッカーまで、敬意を表したかったのです。」

私は驚き、フェデリコもそれに気づきました。「あなたが私がそう言うとは思わなかったことは知っていますが、これは事実です。」と彼は答えました。「私はこれが今日の世界で最も重要な分野であり、Roninハッカーの攻撃はエンジニアリング行為であると思います。この意味で、これは称賛に値します……悪魔も美しい女性であることがあります。」

翌日、フェデリコは資金を返還し始めました。最初は3回に分けて、各回1000ETH、当時の合計で約540万ドルです。その後、彼のウォレットは再び休眠状態になりました。アナリストたちはその時、Eulerが残りの資金を回収できるかどうかに疑問を抱いていました。

しかし、2日後の3月20日、フェデリコはEulerチームに最初のメッセージを送りました。「私たちは、すべての影響を受けた人々が簡単に対処できるようにしたいと考えています。私たちのものではないものを保持するつもりはありません。安全な通信を設定しましょう。合意に達しましょう。」

フェデリコはこのメッセージが少し遅れたことを認めました。「私は2000万ドルを自分の手元に保持することが良いアイデアかどうかを決めようとしていました……なぜなら、これはEulerが私に提供したものだからです。」と彼は言いました。「私は確かに準備ができておらず、経験が不足しており、新人でした……私は数日、数週間も眠れませんでしたが、最終的に私は返還しなければならないことを知っていました。私はEulerのユーザー群に何の損害も与えたくありませんでした。」

それにもかかわらず、フェデリコは資金を返還するのにかなりの時間を要しました。3月25日午後3時頃、最初に81,953ETH（約1.43億ドル）が現れました。その後27日には1000万ドルのDAIが続きました。28日午前3時、フェデリコは公に謝罪し、「私は台無しにしました。私は望んでいませんでしたが、他の人のお金、他の人の仕事、他の人の生活を乱してしまいました……どうか許してください。」と言いました。しかし、一部の資金はその時点でも彼の管理下にありました。

最終的に、4月3日、Eulerチームは興奮して発表しました。ハッカーの最後の取引の後、すべての「回収可能な資金」が返還されたと。Eulerはまた、フェデリコに対する100万ドルの懸賞金を正式に撤回しました。資金の回帰はDeFiの歴史の中で最も成功した復旧の1つを示し、フェデリコは安堵し、すべてが終わったことを感じました。

その後、2ヶ月半後、フェデリコのウォレットが再び活発になり、自分にメッセージを送信しました。最初のメッセージは6月17日で、たった二言：「Ben yre」------ブエノスアイレス。17分後、そのウォレットは再びメッセージを送り、同じくスペイン語で自称アルゼンチン人、ペロン主義者、ホワイトハットハッカーであると名乗りました。このメッセージは他のハッカーへの提案として、「愚か者にならないで、盗まないで、報酬を得なさい。」と述べていました。

メッセージの最後には、ウォレットがInstagramアカウント------@federicojaimeokにリンクされていました。私は彼にプライベートメッセージを送りました。私たちはInstagramで会話を始め、2022年9月以来のフェデリコの物語がアーカイブされていました。その後、私たちはTelegramで会話をしました。私たちの会話の中で、彼が私に話したすべてのことは、私が他の情報源から得たフェデリコに関する情報と一致していました。フェデリコはまた、彼の父親の電話番号を提供し、彼自身の身元とフェデリコとの関係を確認し、フェデリコが私に伝えた情報と一致する他の情報を提供しました。

フェデリコは、彼が姿を現すことに決めたのは自分の利益のためではなく、DeFiコミュニティの利益のためであると述べました。「私は倫理的なハッキング行為を奨励したいと思っています。これが主な理由であり、私は人々に正しいことをするように声を上げたいと思っています。」

フェデリコはまた、Eulerとの攻撃者との交渉戦略がDeFiの他の部分に模範となる先例を作ることを望んでいます。彼は「私は、分散型金融分野のハッカーシーンがEulerハッカー事件の後で変わると確信しています。これは、監査の重要性と、ハッカー攻撃後の交渉の重要性を世界に示したと思います。」と述べました。

Chainalysisの調査副社長エリン・プランテ（Erin Plante）は、「ただし、暗号通貨分野のすべての人が脆弱性報酬やハッカーとの交渉が常態化することに熱心であるわけではありません。ほとんどのDeFiハッカーは、合法的な脆弱性報酬から10万ドルや50万ドルを得るのではなく、盗まれた資金の総額の50％以上を手数料として要求することが多く、これは恐喝に近いです。」と述べました。

プランテはまた、法執行機関が違法な暗号通貨を追跡する能力が向上するにつれて、ハッカーが報酬を現金化することがますます難しくなっていると指摘しました。彼女は「この場合、業界全体の報酬が集団的に減少することに加えて、ハッカーがこの仕事をする動機が変わる可能性があります。」と述べました。

フェデリコは何度も私に、彼の計画は最初から資金を返還することだったと主張しました。それなら、なぜ彼は3週間もかかったのでしょうか？

「私は自分を守るために時間をかけたかったのです。合法的な方法と他の方法で安全な方法を見つけるために。」と彼は言いました。

もちろん、フェデリコのいくつかの主張は確認できません。フェデリコは、そのプロトコルの設計と実行は完全に彼の仕事であると私に伝えました（「すべて私が自分でやったことです」）、ただし、彼は時折同僚から提案を受けることがありました。たとえば、研究すべきDeFiプロトコルのリスト（これは他の人の関与を隠すようなものであり、私たちが持っているチェーン上のデータからは誰がコードを書いたのかを特定することはできません）。

私たちはまた、もしフェデリコがこの攻撃をより良く計画していたら、彼がこのお金を保持していたかどうかは永遠にわからないでしょう。彼は私に、結果を考慮しなかったことを後悔していると認めましたが、ただ正しいことをするためだと言いました。「私はただ計画が不十分で、金額が大きすぎて、対処できなかったのです。」と彼は言いました。

フェデリコは、彼がEulerチームに与えた苦痛を後悔していると私に伝えました。「マイケル・ベントリーのツイートを見て、彼が家族と過ごす時間を犠牲にしなければならなかったとき、私の心は砕けました。」と彼は言いました。私が彼に、この攻撃が将来に影響を与えることを心配しているかどうか尋ねると、彼はその懸念を否定しました。「私は、法的にEulerチームが私を事後的に追及することはないと信じています。なぜなら、それは将来のハッカーが資金を返還することを妨げるからです。」

Euler Financeは4月12日から攻撃の被害者に補償を開始し、被害者は喜び（そしてほぼ信じられないほど）を感じました。この脆弱性の影響は他の11のDeFiプロトコルに広がりました。そのうちの1つ（Yield Protocol）は6月27日まで回復しませんでした。ハッカー攻撃以来、Euler Financeは麻痺状態にありました。

フェデリコはまだヨーロッパにおり、彼は自分の個人的な状況を「非常に複雑」と表現していますが、彼はすぐにブエノスアイレスに戻って学業を続けることを望んでいます。「Eulerハッカー事件以来、私の生活はそれほど楽ではなく、ストレスが残っています。」

私はフェデリコに、彼が神が彼の祈りに応えているように思えるか、彼に教訓を与えているのかどうか尋ねました。「彼は私をからかっているか、私を（テスト）していると思います。」と彼は答えました。

フェデリコはまだ決心がついていません。