체인 캡처 보고서

8월 12일 오전 8시 기준, Poly Network 공격자는 BSC, 이더리움 및 폴리곤을 통해 3억 4천 2백만 달러 이상의 토큰(USDC, BUSD, SHIB 및 FEI 포함)을 반환했습니다.

8월 12일 새벽, Poly Network 해커는 이더리움 네트워크를 통해 전송 메시지를 남기며 이번 공격의 동기와 이유에 대한 질문에 답했습니다. 그는 다음과 같이 말했습니다.

질문: 왜 해커가 되려고 하셨나요?

답: 재미로요 :)

질문: 왜 Poly Network를 선택했나요?

답: 크로스 체인이 인기가 많아서요.

질문: 왜 토큰을 전송했나요?

답: 안전을 보장하기 위해서요.

이 오류를 발견했을 때, 복잡한 감정을 느꼈습니다. 스스로에게 물었습니다. 이렇게 많은 재산이 내 앞에 있다면 어떻게 해야 할까요? 프로젝트 팀에 정중하게 알려서 그들이 취약점을 수정할 수 있도록 해야 할까요? 하지만 누구나 배신자가 될 수 있습니다. 이건 10억 달러니까요! 나는 누구도 믿을 수 없습니다. 나는 누구도 믿을 수 없습니다! 내가 생각할 수 있는 유일한 해결책은 신뢰할 수 있는 계좌에 돈을 보관하고, 동시에 내 신원을 익명으로 안전하게 유지하는 것이었습니다. 이제 모두가 이 안에 음모의 냄새를 맡고 있습니다. 내부자? 나는 아니지만, 누가 알겠습니까? 나는 어떤 내부자가 취약점을 숨기고 이용하기 전에 이 취약점을 폭로할 책임이 있습니다!"

질문: 왜 이렇게 복잡하게 만들었나요?

답: POLY 네트워크는 훌륭한 시스템입니다. 해커가 즐길 수 있는 가장 도전적인 공격 중 하나입니다. 나는 어떤 내부자나 해커보다 빠르게 이기려고 했고, 이를 보상 도전으로 삼았습니다 :)

질문: 당신의 신원을 드러냈나요?

답: 아니요, 절대 그렇지 않았습니다. 나는 나쁜 일을 하지 않더라도 드러날 위험이 있다는 것을 이해합니다. 그래서 나는 추적할 수 없는 임시 이메일, IP 또는 이른바 지문을 사용했습니다. 나는 어둠 속에 머물며 세상을 구하는 것을 선호합니다.

질문: 30시간 전 공격에서 도대체 무슨 일이 있었나요?

답: 말하자면 길어집니다.

믿거나 말거나, 나도 이 게임에 강제로 참여하게 되었습니다.

Poly Network는 복잡한 시스템이며, 나는 로컬 테스트 환경을 구축할 수 없었습니다. 처음부터 개념 증명(POC)을 만들지 못했습니다. 그러나 포기하려 할 때 기회가 왔습니다. 밤새 디버깅한 후, 나는 본체 네트워크를 위한 SINGLE 메시지를 만들었습니다.

나는 Poly를 지원하는 네 개의 네트워크(ETH, BSC, Polygon 및 HECO)를 신속하게 장악하기 위해 멋진 전격전을 시작할 계획이었습니다. 그러나 HECO 네트워크에서 오류가 발생했습니다! 중계기의 행동이 다른 중계기와 달랐고, 관리자는 내 취약점 공격을 직접 중계했으며, 키는 잘못된 매개변수로 업데이트되었습니다. 이로 인해 내 계획이 망가졌습니다.

나는 그 순간 공격을 중단해야 했지만, 이 공연을 계속하기로 결정했습니다! 그들이 아무런 통보 없이 이 취약점을 비밀리에 수정한다면 어떻게 될까요?

그러나 나는 암호화폐 세계에서 실제 공포를 일으키고 싶지 않았습니다. 그래서 나는 Poly에서 쓰레기 코인을 무시하기로 선택했습니다. 그래서 사람들은 그것들이 제로가 될까 걱정할 필요가 없었습니다. 나는 중요한 토큰(SHIB 제외)을 가져갔고, 이후 어떤 토큰도 판매하지 않았습니다.

질문: 그럼 왜 그 안정 코인을 판매/교환했나요?

답: POLY 팀의 초기 반응이 나를 화나게 했습니다.

내가 답변할 시간도 없이 그들은 다른 사람들에게 나를 비난하고 증오하라고 촉구했습니다! 나는 물론 가짜 DeFi 토큰이 있다는 것을 알고 있었지만, 나는 진지하게 받아들이지 않았습니다. 왜냐하면 나는 돈세탁 계획이 없었기 때문입니다.

동시에, 안정 코인을 다른 곳에 예치하여 이자를 벌어 잠재적인 비용을 지불할 수 있으므로, Poly 팀과 더 많은 시간을 협상할 수 있었습니다.

질문: 왜 커뮤니티 구성원에게 13.37 ETH를 팁으로 보냈나요? (주: "Hanashiro.eth"라는 커뮤니티 구성원이 해커에게 USDT를 사용하지 말라고 알리며 "PolyNetwork Exploiter"와 연결된 주소에서 13.37 ETH의 보상을 받았습니다.)

답: 나는 이더리움 커뮤니티의 따뜻함을 느꼈습니다.

나는 그 당시 HECO 문제를 조사하고 내 스크립트를 디버깅하느라 바빴습니다. 나는 이것이 네트워크 문제라고 생각했습니다. 왜 내가 입금할 수 없는지 (나는 복잡한 네트워크 프록시를 사용했습니다). 그래서 나는 그 친구와 내 선의를 나누었습니다.

질문: 왜 Tornado와 DAO에 대해 질문했나요? (주: Tornado는 일반적으로 해커가 돈을 세탁하는 데 사용됩니다.)

답: 이렇게 많은 해킹 공격을 목격하면서, 자금을 Tornado에 투입하는 것이 현명하지만 절망적인 결정이라는 것을 알았습니다. 이는 내 본래 의도와는 반대입니다. 그렇게 많은 간청을 본 후, 크라우드소싱 해커가 되는 것은 단지 내가 한 농담이었습니다 :)

질문: 왜 자금을 반환하나요?

답: 이것은 항상 내 계획이었습니다! 나는 돈에 그리 관심이 많지 않습니다! 나는 사람들이 공격을 받을 때 얼마나 고통스러운지 알고 있지만, 그들은 과거에 발생한 많은 해킹 공격에서 뭔가 배워야 하지 않을까요? 나는 자금 반환 결정을 자정 전에 발표했으므로, 나를 믿는 사람들은 잘 쉬어야 합니다 ;)

질문: 왜 자금 반환 진행이 조금 느리나요?

답: 나는 POLY 팀과 소통할 시간이 필요했습니다. 죄송합니다. 이것이 내가 아는 유일한 방법입니다. 내 신원을 숨기면서도 내 존엄성을 유지할 수 있는 방법입니다. 나는 잠시 쉬어야 합니다.

질문: Poly 팀에 대해 어떻게 생각하나요?

답: 나는 그들과 짧은 대화를 시작했습니다. 대화 내용은 이더리움에 기록되어 있습니다. 나는 이를 발표할 수도 있고, 발표하지 않을 수도 있습니다. 그들이 겪는 고통은 일시적이지만, 분명히 잊을 수 없는 경험이 될 것입니다.

나는 그들에게 그들의 네트워크 보안을 보호하는 방법에 대한 팁을 제공하고 싶습니다. 그래야 그들이 미래에 10억 달러 가치의 프로젝트를 관리할 자격을 갖출 수 있습니다. Poly Network는 잘 설계된 시스템이며, 더 많은 자산을 처리할 것입니다. 그들은 트위터에서 많은 새로운 팬을 얻었죠, 맞나요?