O POLY Hack e os problemas de confiança da Crypto

“E agora, pessoal, é hora de: Em quem vocês confiam? Hubba hubba hubba, dinheiro, dinheiro, dinheiro. Em quem vocês confiam? Eu, estou dando dinheiro de graça. E onde está o Batman? Em casa, lavando suas meias!” – O Coringa (Batman 1989)

Quando oA POLY Network foi hackeada no início da semana passada por cerca de US$ 600 milhões em várias criptomoedas, o ataque foi notável principalmente por seu tamanho. É o maior hack de Cripto de todos os tempos – embora não muito acima do de 2018 Hack de US$ 500 milhões da Coincheck. A 50.000 pés, parecia a progressão lógica de uma série de hacks que remontavam à exploração que supostamente derrubou o Monte Gox por volta de 2013, o que vale a penacerca de US$ 473 milhõesem 2014BTCpreços.

Resumindo, apesar do seu tamanho, o hack do POLY T era tão interessante assim.

Então as coisas ficaram estranhas.

David Z. Morris é o principal colunista de insights da CoinDesk.

O hacker supostamente entrou em negociações multipartidárias, incluindo POLY, mineradores, a empresa de segurança Slowmist e o emissor da stablecoin Tether. A natureza dessas negociações ainda T está totalmente clara, mas sabemos pelo menos duas coisas: a POLY ofereceu ao hacker uma “recompensa por bug” de US$ 500.000 para devolver os fundos roubados, e a Slowmist alega que identificou os endereços de IP e e-mail do hacker (embora o hacker negou estar comprometido).

Uma terceira hipótese forte é que o hacker estava começando a perceber que ele/ela/eles teriam muita dificuldade em liquidar algo próximo a US$ 600 milhões em tokens (T sabemos o gênero do hacker, mas usarei "ele" por toda parte para simplificar e porque as chances são de que seja preciso). O CEO da Binance, Changpeng Zhao, prometeu que sua bolsa “congelar” quaisquer fundos hackeados enviado para sua plataforma, enquanto a Tether realmente tomou a iniciativa de congelar cerca de US$ 33 milhões em seus ativos USDTstablecoin obtida no hack.

Pode ter havido outros fatores, mas estes por si só foram provavelmente suficientes para desencadear o que aconteceu a seguir: o hackerdevolveu o dinheiro. Na quinta-feira, 12 de agosto, o hacker havia colocado quase todos os fundos hackeados (menos os tethers congelados) emuma carteira multi-assinatura compartilhado com a equipe POLY .

Em outras palavras, este é o proverbial cachorro que pegou um carro. Depois de realizar o maior roubo de Cripto de todos os tempos, o hacker T sabia o que fazer com seu saque.

Virar o rosto

Agora, com a ajuda da própria POLY Network, o hacker está tentando fazer o que no wrestling profissional é conhecido como “virar o rosto”: uma transição repentina de vilão para herói.

Na manhã de 16 de agosto, o hacker postou uma mensagem por meio de umendereço Ethereum verificadoincluindo o seguinte:

“DINHEIRO SIGNIFICA POUCO PARA MIM, ALGUMAS PESSOAS SÃO PAGAS PARA HACKEAR, EU PREFIRO PAGAR PELA DIVERSÃO. ESTOU CONSIDERANDO ACEITAR A RECOMPENSA COMO UM BÔNUS [sic] PARA HACKERS PÚBLICOS SE ELES PODEREM HACKEAR A REDE POLY ... SE A POLY T DER A RECOMPENSA IMAGINÁRIA, COMO TODO MUNDO ESPERA, TENHO ORÇAMENTO SUFICIENTE PARA DEIXAR O SHOW CONTINUAR.”

“CONFIO EM PARTE DO CÓDIGO DELES, EU ELOGIARIA O DESIGN GERAL DO PROJETO, MAS NUNCA CONFIO NA EQUIPE POLY TODA.”

Em outras palavras (para esclarecer a nota aparentemente traduzida por máquina), o maior hacker de Cripto de todos os tempos diz que fez isso por diversão. Mas também, com base em declarações feito em 11 de agosto, ele alega ser um hacker benigno que quer apenas destacar uma falha de design em vez de realmente roubar dinheiro. “Sempre foi o plano” devolver os fundos, ele alega – e agora ele está até disposto a usar seu próprio dinheiro para pagar mais “recompensas” a hackers que ajudem a encontrar e consertar exploits no POLY. Ele é um bom samaritano completo!

A POLY Network ajudou muito nessa reviravolta ao dar ao hacker um apelido muito lisonjeiro enquanto tentava obter o retorno dos fundos roubados: Sr. Chapéu Branco.

“White Hat”, é claro, é uma referência a um hacker “white hat”. Um hacker white hat, em princípio, só testa vulnerabilidades de software para ajudar a consertá-las, em vez de explorá-las para ganho. Um “black hat”, por outro lado, hackeia para lucro ou malícia.

Os motivos da POLY Network para apelidar preventivamente o hacker de “white hat” são bem claros: isso dá ao hacker um caminho para devolver os fundos e, talvez, salvar sua reputação. Para a POLY, o retorno dos fundos é a única prioridade e essa estratégia é brilhante: você pega mais moscas com mel do que com vinagre, afinal.

Mas, além do apelido amigável de Poly e suas próprias declarações, há muito pouca evidência clara de que as intenções originais do hacker eram boas. Entre outras evidências contraditórias, não está claro por que ele teria movimentado US$ 600 milhões quando o exploit poderia ter sido demonstrado com um hack muito menor.

Hubba Hubba Hubba, em quem você confia?

A situação destaca uma tensão que cresceu junto com o ecossistema de Criptomoeda . “Desconfiança” é um princípio CORE da Cripto, tanto tecnológica quanto filosoficamente. Em termos gerais, essa é uma alegação de que a confiança pode ser depositada em sistemas de blockchain estáveis ​​e seguros, em vez de humanos falíveis e egoístas.

Mas com a crescente complexidade, competição e apostas, a necessidade de confiança nos humanos por trás da Cripto cresceu. Assim como as consequências de perder essa confiança. Isso se aplica mais obviamente aos usuários da POLY Network, que confiaram seus fundos a ela: os vários tokens roubados foram confiados ao protocolo, que atua como um custodiante como parte de sua funcionalidade cross-chain.

Mas o hack reforça o fato de que eles T estavam realmente confiando no sistema – eles estavam confiando nos designers e codificadores da rede. Essa confiança foi abalada pelas falhas aparentes em seu código. A POLY não está sozinha nisso, nem de longe: como mencionado, hacks e exploits se tornaram frequentes, particularmente em sistemas de Finanças descentralizadas (DeFi), cuja complexidade os torna inerentemente mais vulneráveis ​​do que um sistema mais simples como o Bitcoin.

Leia Mais: US$ 600 milhões em assalto à POLY mostram que o DeFi precisa de hackers para se tornar inhackável | Dan Kuhn

Como argumentou Daniel Kuhn, da CoinDesk, esses hacks podem ser vistos como parte do processo de criação dessessistemas mais seguros. O hacker, seja essa sua intenção inicial ou não, tornou a POLY mais forte.

No entanto, esses hacks destacam uma verdade incômoda: no DeFi, a reputação dopessoas construindo os sistemas importa. E o hack da POLY mostra especificamente uma razão pela qual isso é um problema. A POLY é um projeto em parte apoiado pela equipe por trás da NEO, uma blockchain fundada na China em 2014. Para uma pessoa nos EUA ou na Europa confiar neles, é preciso cruzar as próprias barreiras de idioma, geografia e política que a Cripto deveria dissolver.

Em vez disso, a lacuna fomentou algum pensamento conspiratório absoluto sobre os motivos da Poly. Esta manhã, a POLY anunciou que ofereceria ao Sr. White Hat um papel como seu Conselheiro Chefe de Segurança. Isso provavelmente faz parte da estratégia melosa da rede para permanecer nas boas graças do hacker. Mas também desencadeou especulações de que o hack em si foi um trabalho interno com a intenção deum golpe de marketing.

Outro aspecto importante da falta de confiança na Cripto é finalidade. No white paper de Satoshi Nakamoto de 2008 descrevendo o Bitcoin, ele escreve que transações “completamente não reversíveis” são uma característica, não um bug, do sistema: “Com a possibilidade de reversão, a necessidade de confiança se espalha.” Em última análise, isso ocorre porque a reversibilidade requer um árbitro – um temido “terceiro” com o poder de decidir quem está certo e, então, interromper ou devolver as transações. Mas eliminar intermediários terceirizados é o ponto principal da Criptomoeda, a característica que a torna única entre as ferramentas de pagamento digital (e, pelo menos nos tempos modernos, entre as moedas como um todo).

O que quero dizer aqui, é claro, é Tether. A stablecoin é um importante suporte de todo o ecossistema de Criptomoeda , com uma capitalização de mercado de US$ 63 bilhões e um papel fundamental em facilitando a negociação. A maioria dos usuários provavelmente pensa no Tether como uma “Criptomoeda”, mais ou menos parecida com o Bitcoin, mas sua resposta ao hack desmente isso.

Ao congelar US$ 33 milhões envolvidos no hack, a empresa por trás do Tether demonstrou que é um “intermediário confiável”. Assim como um banco (o que efetivamente é, em muitos sentidos), Tether demonstrou que pode congelar quaisquer fundos que se movam na rede, a qualquer momento. Quando você o usa, você está depositando fé nos administradores centrais do Tether para não congelar seu fundos. (O mesmo, para ser claro, é verdade para o concorrente Tether USDC, embora a Circle, a empresa por trás do USDC, tenha optado por não intervir no caso atual.)

E assim, por mais sombrio que seja, é indiscutível que os sistemas de Cripto agora convidam cada vez mais ao mesmo dilema filosófico atemporal que enfrentamos ao lidar com o sistema financeiro tradicional:

Hubba, hubba, hubba, em quem você confia?