у блокчейні "招安": GMX як використав 10% винагороди, щоб "переконати" хакера повернути величезну суму?

Автор: Люк, Mars Finance

У криптовалютному світі найдорожчими двома літерами можуть бути "OK".

Коли адреса успішно "витягнула" активи на 42 мільйони доларів з протоколу GMX, перед обличчям "листів з пропозицією" від проекту, цей таємничий хакер не став говорити довго, не хвалився технологіями, а просто спокійно відповів двома літерами в одній угоді: "ok". Після цього більшість коштів була повернена назад.

Ця фраза "ок" завершила класичну атаку DeFi і викликала безліч запитань: як же так, що готова качка злетіла? Що ж насправді думав цей "вчений", який досяг успіху? Це було раптове прозріння совісті чи за цим криється щось інше?

Це не просто історія про "вора з кодексом честі". Це більше схоже на західний двобій, що відбувається на цифровій пустелі, лише зброєю сторін є код, теорія ігор та точний розрахунок людської жадібності й страху. Щоб зрозуміти, чому хакер повернув гроші, спочатку потрібно повернутися до тієї вражаючої сцени нападу і подивитися, як цей "мастер" здійснив цей "трюк".

"Блицкриг": хірургічний удар точно в ціль

Перед атакою GMX був найяскравішим представником екосистеми Arbitrum, володіючи понад 450 мільйонами доларів у загальному заблокованому капіталі (TVL) та величезною кількістю користувачів, ставши "щасливим домом" для безлічі трейдерів. Велике дерево привертає вітри, тому воно також стало "мобільним сховищем" в очах топ-хижаків.

9 липня цей хакер завдав удару. Він не обрав насильницьке зламу, а, як досвідчений хірург, знайшов приховану глибоко у коді GMX V1 "пошкоджену зону". У центрі цієї атаки знаходиться "вразливість повторного входу", про яку говорять в галузі з жахом, але метод був модернізований. Цей майстер не кинувся в бій без думки, а ідеально поєднав повторну атаку з іншим логічним дефектом протоколу GMX при обчисленні загальної вартості активів (AUM), розігравши спектакль "чотири унції для тисячі фунтів".

Простими словами, він подібний до гравця, який одночасно може виконувати роль «арбітра» та «спортсмена». В момент відкриття позиції він використав вразливість, щоб вплинути на розрахунок загальної ціни, «створивши» з повітря ціну, що була надзвичайно вигідною для нього, а потім негайно закрив позицію та зняв гроші, втікши. Весь процес проходить гладко і безперешкодно, демонструючи, що його розуміння базового коду GMX вже перевищує знання більшості людей.

Операції після успішного викрадення ще більше виявили його «професійність». Спочатку кошти пройшли «ванну» через Tornado Cash, щоб приховати сліди, а потім з'явився ключовий крок: він швидко обміняв вкрадені великі обсяги стабільної монети USDC на децентралізовану DAI. Цей крок здається зайвим, але є підручниковим прикладом хеджування ризиків та закладає найважливіший фундамент для його подальших «компромісів».

Реакція ринку виявилася справді жахливою. Ціна токена GMX різко впала, знизившись майже на 28% за кілька годин, у спільноті панує відчай, а команда проекту терміново «вирвала кабель», призупинивши відповідні функції, щоб запобігти подальшій розграбуванню сейфу.

Онлайн заклик: кібер-нагороди, що поєднують загрози та спокуси.

Стикаючись із кризою, команда проекту GMX не вирішила викликати поліцію, а зробила щось дуже "криптовалютне" — надіслала повідомлення в мережі. Вони безпосередньо надіслали транзакцію на адресу хакера, в коментарі написавши ретельно сформульований "лист із закликом до капітуляції":

"Брате, ми вже оцінили твої навички. Зараз даємо тобі можливість залишити 10% (близько 5 мільйонів доларів) як 'бонус для білих капелюшків', а залишок 90% повернути протягом 48 годин, і це питання ми закриємо, більше не будемо переслідувати. Сподіваємося, ти зробиш моральний вибір."

Цей набір «морква і батіг» можна вважати стандартним PR-процесом після крадіжки в світі DeFi. Морква – це та велика винагорода, яка здатна зробити будь-кого фінансово незалежним, а батіг – це прихована правова загроза «не переслідувати». 48-годинний зворотний відлік справляє величезний психологічний тиск на хакера, не залишаючи йому достатньо часу для спокійного відмивання грошей.

У відповідь на цей "ультиматум" хакер дав блискучу відповідь. Без виправдань, без насмішок, лише одне "ок". Лаконічно, але з величезним стилем, ніби каже: "Зрозумів, будемо діяти за процедурою."

Плани хакерів: чому "смачний шматок, який ось-ось буде в роті", потрібно виплюнути?

Хакер справді був зворушений цими словами і вирішив стати Буддою? Звісно, що ні. За цим стоїть холоднокровне зважування вигод і збитків.

По-перше, це угода, яка приносить гарантований прибуток. Перед хакером стоять два варіанти: План А – спробувати відмити всі 42 мільйони доларів. Але ці великі гроші вже під наглядом світових блокчейн-детективів (таких як PeckShield, SlowMist), і кожен крок переміщення буде транслюватися в прямому ефірі. Йому потрібно грати в кішки-мишки з регуляторами, використовуючи високоризикові інструменти для змішування монет, і завжди боятися, що на якому-небудь етапі щось піде не так, що призведе до замороження активів. План Б – прийняти пропозицію, взяти 5 мільйонів доларів "легальної" нагороди. Ці гроші практично без ризику, проект особисто гарантує, що складність відмивання і ризик бути виявленим зведені до мінімуму.

Для раціонального "економічної людини", яка прагне максимізації прибутку, що краще: бігти під вогнем з вантажівкою золота, чи спокійно забрати додому коробку з діамантами і заснути? Відповідь очевидна.

По-друге, і це найважливіший момент, це «Меч Дамокла», що висить над його головою — «задня дверцята» централізованих стейблкоїнів. Чому хакер так поспішав обміняти USDC на DAI? Бо він добре розуміє, що такі емітенти стейблкоїнів, як Circle (USDC) та Tether (USDT), по суті, є централізованими компаніями. Вони мають можливість і неодноразово виконували вимоги правоохоронних органів, безпосередньо заморожуючи активи на будь-якій адресі. Це означає, що десятки мільйонів USDC на його рахунку можуть в будь-який момент перетворитися на безцінний набір цифр. Ця «централізована вразливість», що існує в «децентралізованих фінансах», є найсильнішою картою, що змушує його повернутися до переговорного столу.

Нарешті, ми побачили еволюцію ролі хакера: від руйнівника до "професійного мисливця за нагородами". Ранні хакери, можливо, мали трохи ідеалізму або прагнення до показу, наприклад, атакуючий Poly Network залишив великий текст, заявивши, що "для розваги". Але теперішні топ-хакери стають дедалі більш прагматичними. Їхня логіка дій більше нагадує: виявити дорогоцінну вразливість → підтвердити її цінність за допомогою "шокуючої освіти" в атаці → примусити проект сплатити значно вищу, ніж звичайна винагорода за вразливість, "супернагороду". Скоріше, ніж хакери, їх можна назвати "мисливцями за вразливостями", які пересуваються в сірій зоні, і GMX цього разу, на жаль, став їхньою жертвою.

Висновок: крихкий новий баланс дикого заходу

Подія GMX завершилася в особливий спосіб: більшість активів користувачів були відновлені, команда проекту зберегла репутацію, а хакер з чималим кушем зник у безмежному морі адрес.

Ця подія ідеально ілюструє один з "крихких балансів" сучасного світу DeFi. З одного боку, прозорість блокчейну робить злочинні дії неприхованими; з іншого боку, залежність DeFi від централізованих установ залишає можливість для контрзаходів. Ці два фактори разом сприяють виникненню нової парадигми "атака-угода-нагорода".

Як сказав анонімний експерт з переговорів серед білих хакерів, хоча давати хакерам 10% винагороди звучить як заохочення злочину, "коли ви стикаєтеся з тими звичайними користувачами, чиє життя і статки залежать від цього, їм не важливі якісь принципи, вони просто хочуть повернути свої гроші."

Безпечний шлях DeFi довгий і тернистий. Поки не з'явиться абсолютно безпечний код, ця цифрова дика західна частина продовжить демонструвати захопливі зіткнення, в яких переплітаються код, гроші та людська природа. Історія GMX - це лише один з захопливих епізодів у цій безкінечній грі в кішки-мишки.