폴리 네트워크 공격자가 다시 질문과 답변: 나는 자신의 정직함이 자랑스럽다 (부록 다섯 번의 질문과 답변 전문)

정리: 후타오

오늘 새벽, Poly Network 공격자는 이더리움 네트워크를 통해 전송된 메시지로 색호구 지역에서 관심 있는 주제에 대한 질문과 답변 형식으로 몇 가지 질문에 답변했습니다. 그 중 여러 번 잠재적인 신원 단서를 언급했으며, 예를 들어 영어가 모국어가 아닌 사람, 해킹 산업에 종사하는 사람 등을 포함했습니다. 또한 사람들의 보안에 대한 우려를 높이는 것도 자신의 직업적 사명이라고 밝혔습니다.
또한 한 개별 체인 메시지에서 해커는 제한된 보상을 우연한 피해자 보상 기금의 출처로 고려하고 있으며, 도움을 제공하고 싶다면 기부 주소로 돈을 보낼 수 있다고 말했습니다. "나는 내 야생 모험의 영향을 받은 무고한 사람들에게 안타까움을 느낍니다." 해커는 말했습니다.
다음은 체인 캡처기가 Ethscan 체인 기록을 바탕으로 정리한 다섯 번의 질문과 답변 전문입니다:

질문과 답변 다섯 번째 부분:
질문 1: 왜 AMA인가요? 당신의 자백은?
답변 1: 그것은 더 일기 같은 것입니다. 내가 자랑스럽게 여기는 몇 가지입니다.
질문 2: 왜 모든 돈인가요?
답변 2: 내가 말했듯이, 나는 돈에 신경 쓰지 않습니다.
질문 3: 영어가 잘 안 되나요?
답변 3: 영어가 모국어가 아닌 사람입니다. (신원 유출 1) 나는 내 진정한 감정을 꾸밈없이 표현했을 뿐입니다. "Shift" 키를 누르고 타이핑하는 것은 쉽지 않습니다.
질문 4: 블랙햇인가요, 화이트햇인가요?
답변 4: 나는 다른 사람을 판단함으로써 우월감을 느끼는 것을 좋아하지만, 그것은 결코 쉬운 일이 아닙니다. 합법적인 좋은 것만이 화이트햇일 수는 없습니다. 소위 블랙햇도 좋은 사람이 될 수 있습니다. 사람은 변덕스럽습니다. 그레이존에 대해 들어본 적이 있나요?
질문 5: 화이트햇은 개발자에게 직접 알려야 하지 않나요?
답변 5: P1Q1234를 읽어보세요. DeFi는 어두운 숲이며, 매년 수백 개의 프로젝트가 도망칩니다. 나는 누구도 믿지 않습니다.
질문 6: 왜 처음부터 숨었나요?
답변 6: 당신이 합법적인 좋은 사람이라도 어떤 이유로든 위험에 처할 수 있습니다. 보안 담당자는 실제로 보안 문제에 신경을 씁니다.
질문 7: 왜 이렇게 많은 것을 설명해야 하나요?
답변 7: P4Q2를 읽어보세요. 안내 부분은 나에게 큰 의미가 있습니다. 나는 내 생각으로 오만과 탐욕을 극복하는 방법을 공유하고 싶습니다. 나는 정신적인 도전이 해킹 부분보다 쉽지 않다고 생각합니다.
솔직히, 공격이 성공했을 때 나는 너무 흥분해서 원래 계획을 거의 잊어버렸습니다. 너무 많은 추측이 있었기 때문입니다. 이는 예상치 못한 일이었습니다(참조 P2Q1). 첫 번째 메시지(참조 P3Q1)는 내가 창의적인 일을 하도록 자극했습니다. 나는 내 메시지 목록에서 흥미롭지만 합리적인 아이디어를 찾는 데 시간을 보냈습니다.
나는 (여전히) 내 은신처에 대해 자신감이 있었기 때문에, 내가 감당할 수 없는 손실을 초래하지 않는 한 이 경기를 잘 해낼 수 있다고 생각했습니다. 나중에 그 난민들 때문에 나는 차분해지기 시작했습니다. 맞습니다, 나는 잠시라도 이 돈을 차지하는 것이 용서받을 수 없는 농담이라는 것을 깨달았습니다. 그것은 너무 많은 고통을 초래했습니다.
"십억 개의 산지코인" 농담에 대해 말하자면, 나는 이 사건의 제목이 더 눈길을 끌 수 있다고 생각했지만, 결말은 같을 것입니다: 나는 산지코인을 버리지 않을 것입니다. 결과적으로 이것은 나쁜 농담이었습니다. 이 "DAO" 농담에 대해, 나는 커뮤니티에 어떻게 환불할 것인지, 언제 환불할 것인지 물어보고 있었습니다. 이것은 무책임한 농담입니다.
나는 노출되거나 돈 세탁의 문제에 대해 전혀 두렵지 않습니다(내 초보자 과정을 읽어보세요). 나는 내 결정이 많은 사람들의 삶을 바꿀 수 있다는 것을 깨달았습니다! 만약 내가 그 토큰을 거기에 두고 게임을 종료한다면, 나는 백만장자가 되는 삶을 즐길 수 있고, 평소처럼 탐험을 계속할 수 있지만, 수천 명의 사람들이 자신의 운명을 잃게 될 것입니다. 이것은 내 개인 철학에 반합니다(참조 P4Q2).
곧, 나는 POLY에 이메일을 보냈고, 익명 이메일로 서명된 ETH 거래를 첨부했습니다. 그들이 이메일을 받으면, 그들은 내 주소에서 거래를 방송할 수 있습니다. 이는 현명한 선택이 아닙니다. 왜냐하면 나는 그들보다 먼저 어떤 새로운 소식을 방송할 수 없기 때문입니다. 그 이메일은 분명히 사라졌고, 나는 ETH의 회신을 받지 못했지만, 그 실수 때문에 몇 시간을 기다렸습니다.
이야기의 다음 부분은 당신이 이미 알고 있는 것입니다. 나는 내 게임을 중단하고 약속한 대로 돈을 반환했습니다.
질문 8: 당신은 노출되지 않았지만 그들은 단서를 가지고 있으니, 당신은 매우 두려워하고 있군요!
답변 8: 나는 다른 누구보다 더 자신감이 있습니다.
나는 현실 세계에서 주목받는 해커입니다(신원 유출 2). 나는 보안 산업에서 일하고 있으며, 어릴 때부터 해킹에 헌신해왔습니다(신원 유출 3). 솔직히, 보안 연구원으로서 우리의 일은 숨겨진 세계를 구하는 것입니다.
나는 보안 상담이 힘든 일이라는 것을 알고 있으며, PR과 평판이 중요합니다. 나는 내 사건에 대해 보안 팀이 광고하는 것을 개의치 않으며, 특히 그것이 그들에게 도움이 될 때 더욱 그렇습니다. 사람들의 보안에 대한 우려를 높이는 것도 우리의 직업적 사명입니다.
어떤 해커가 한 달 안에 내 사회적 신원을 찾을 수 있다면, 나는 그에게 내 개인적인 선물을 주겠습니다. 그렇지 않으면, 나는 내 신원의 또 다른 단서를 유출할 수도 있고 유출하지 않을 수도 있습니다. 이 게임을 해볼까요?
내 신원이 확인되더라도, 나는 내 정직함에 자부심을 느낍니다 :)
질문과 답변 네 번째 부분:
질문 1: 왜 CEX인가요? 초보자
답변 1: 상관없습니다 :)
이 공격의 주요 도전 과제는 본체 네트워크(내가 가장 좋아하는 부분)에서 몇 가지 계약을 호출하는 것입니다. 당신은 본체 네트워크에서 "GAS"를 얻어야 하며, 이를 "ONG"이라고 부릅니다.
하지만, 그것은 DeFi에서 거래 가능한 토큰이 아닙니다. 나는 몇몇 중국(?) CEX에서만 그것을 찾을 수 있었습니다. 만약 당신이 CEX를 통해야 한다면, 왜 DEX 거래를 번거롭게 해야 하나요? 왜 내가 CEX에 흔적을 남길 것이라고 생각하나요?
질문 2: 왜 환불하나요? 겁쟁이
답변 2: 상관없습니다 :)
다른 사람을 판단할 때, 당신은 그들을 정의하는 것이 아니라, 당신 자신을 정의하고 있습니다.
나는 내가 가장 걱정하는 것: 해킹과 안내에 대해 좋아하게 되었습니다.
DeFi 보안 상황을 이해할 수 있는 해커는 거의 없습니다. 맞습니다, 많은 해커를 볼 수 있지만, 진정한 해커로서 그들 중 대부분은 즐겁지 않습니다. 일부 어리석은 코드는 막대한 손실을 초래할 수 있지만, 이는 도전적이지 않습니다. 그것은 십대 아이와 싸우는 것과 같습니다.
나는 Poly 공격이 당신이 상상하는 것만큼 화려하지 않다는 것을 인정하지만, 나는 이 프로젝트에서 새로운 것을 경험했습니다. 나는 Poly Network의 구조에서 맹점을 찾아내는 것이 내 인생에서 가장 아름다운 순간 중 하나가 될 것이라고 말하고 싶습니다.
암호화 세계가 발전함에 따라, 나는 충분한 돈을 얻었습니다. 나는 삶의 의미를 탐구해온 지 오래되었습니다. 나는 내 삶이 독특한 모험으로 구성되기를 바라므로, 나는 모든 것을 배우고 해킹하는 것을 좋아합니다. 성스러운 도드.
솔직히, 나는 도덕적 리더가 되는 것이 내가 기록할 수 있는 가장 멋진 해커가 될 것이라는 이기적인 동기가 있었습니다! 건배
질문과 답변 세 번째 부분:
질문 1: 왜 13.37 ETH를 팁으로 주나요?
답변 1: 나는 이더리움 커뮤니티의 따뜻함을 느꼈습니다.
나는 HECO의 문제를 조사하고 내 스크립트를 디버깅하는 데 바빴습니다. 나는 이것이 네트워크 문제라고 생각했습니다. 왜냐하면 나는 복잡한 프록시 뒤에 있었기 때문입니다. 그래서 나는 그 친구와 내 선의를 나누었습니다.
질문 2: 왜 TORNADO와 DAO를 묻나요?
답변 2: 이렇게 많은 해킹 공격을 목격하면서, 자금을 TORNADO에 투입하는 것이 현명하지만 절망적인 결정이라는 것을 알았습니다. 이는 내 본래 의도에 반합니다. 이렇게 많은 거지들을 만난 후, 크라우드 해커가 되는 것은 단지 내 농담일 뿐입니다 :)
질문 3: 왜 환불하나요?
답변 3: 이것은 항상 계획이었습니다! 나는 돈에 그다지 관심이 없습니다! 나는 사람들이 공격을 받을 때 고통받는다는 것을 알고 있지만, 그들은 이러한 해커들로부터 뭔가를 배워야 하지 않나요? 나는 자정 이전에 환불 결정을 발표했으므로, 나를 믿는 사람들은 잘 쉬어야 합니다 ;)
질문 4: 왜 환불이 이렇게 느리나요?
답변 4: 나는 POLY 팀과 대화할 시간이 필요했습니다. 죄송합니다, 이것은 내가 신원을 숨기면서 내 존엄성을 증명할 수 있는 유일한 방법입니다. 나는 잠시 쉬어야 합니다.
질문 5: Poly Network 팀은?
답변 5: 나는 그들과 짧은 대화를 시작했으며, 로그는 이더리움에 있습니다. 나는 그것들을 게시할 수도 있고 게시하지 않을 수도 있습니다. 그들이 겪는 고통은 일시적이지만 잊을 수 없는 것입니다.
질문과 답변 두 번째 부분:
질문 1: 30시간 전에 도대체 무슨 일이 있었나요?
답변 1: 말하자면 길어집니다.
믿거나 말거나, 나는 이 게임을 강제로 하고 있습니다.
Poly Network는 복잡한 시스템이며, 나는 로컬 테스트 환경을 구축하는 데 성공하지 못했습니다. 나는 처음에 POC를 만들지 못했습니다. 그러나 내가 포기하기 직전, AHA 순간이 찾아왔습니다. 나는 밤새 디버깅을 한 후 본체 ontology 네트워크를 위한 SINGLE 메시지를 만들었습니다.
나는 ETH, BSC, POLYGON 및 HECO의 네트워크를 장악하기 위한 멋진 전격전을 시작할 계획이었습니다. 그러나 HECO 네트워크에서 오류가 발생했습니다! 중계기의 행동이 다른 중계기와 달랐고, 관리자는 내 취약점을 직접 중계했으며, 키는 잘못된 매개변수로 업데이트되었습니다. 그것은 내 계획을 망쳤습니다.
나는 그 순간에 멈춰야 했지만, 나는 프로그램을 계속 진행하기로 결정했습니다! 그들이 아무런 통보 없이 비밀리에 취약점을 수정하면 어떻게 할까요?
하지만 나는 암호화 세계에서 실제 공황을 일으키고 싶지 않았습니다. 그래서 나는 쓰레기 코인을 무시하기로 선택했습니다. 그래서 사람들은 그것들이 제로가 되는 것에 대해 걱정할 필요가 없습니다. 나는 중요한 토큰(예: SHIB 제외)을 가져갔고 어떤 토큰도 판매하지 않았습니다.
질문 2: 그럼 왜 그 토큰을 판매/변환했나요?
답변 2: POLY 팀의 초기 반응이 나를 화나게 했습니다.
내가 응답할 기회가 있기 전에, 그들은 다른 사람들에게 나를 비난하고 증오하라고 촉구했습니다! 나는 물론 가짜 DEFI 토큰이 있다는 것을 알고 있었지만, 나는 진지하게 받아들이지 않았습니다. 왜냐하면 나는 돈 세탁 계획이 없었기 때문입니다.
그동안 Curve에 예치하면 잠재적인 비용을 지불할 수 있는 이자를 벌 수 있으므로, 나는 POLY 팀과 협상할 시간이 더 많아졌습니다.
질문과 답변 첫 번째 부분:
질문 1: 왜 공격하나요?
답변 1: 재미를 위해 :)
질문 2: 왜 Poly Network를 선택했나요?
답변 2: 크로스 체인 공격이 인기를 끌고 있습니다.
질문 3: 왜 토큰을 빼갔나요?
답변 3: 안전을 보장하기 위해서입니다.
오류를 발견했을 때, 나는 복잡한 감정을 느꼈습니다. 이렇게 많은 부를 마주했을 때, 당신은 어떻게 해야 할까요? 예의 바르게 프로젝트 팀에 문의하여 그들이 문제를 해결하도록 할까요? 누구든지 배신자가 될 수 있습니다! 나는 누구도 믿을 수 없습니다! 내가 생각할 수 있는 유일한 해결책은 그것을 신뢰할 수 있는 계정에 보관하면서 나 자신을 익명으로 안전하게 유지하는 것이었습니다.
이제 모든 사람이 음모의 냄새를 맡았습니다. 내부자? 나는 아니지만, 누가 알겠습니까? 나는 어떤 내부자가 숨기고 이용하기 전에 취약점을 드러낼 책임이 있습니다!
질문 4: 왜 이렇게 복잡한가요?
답변 4: Poly Network는 훌륭한 시스템입니다. 이는 해커가 즐길 수 있는 가장 도전적인 공격 중 하나입니다. 나는 어떤 내부자나 해커를 빠르게 이겨야 했고, 나는 그것을 보상 도전으로 삼았습니다 :)
질문 5: 당신은 노출되었나요?
답변 5: 아니요. 절대 아닙니다. 나는 악의 없이도 노출될 위험이 있다는 것을 이해합니다. 그래서 나는 임시 이메일, IP 또는 이른바 지문을 사용했습니다. 이는 추적할 수 없습니다. 나는 어둠 속에 남아 세상을 구하는 것을 선호합니다.