19 歲的 Euler 黑客，面對 2 億美元猶豫了 3 個禮拜_stETH:加密貨幣

「我試圖決定將2000萬美元保留在自己手中是否是一個好主意……因為這是Euler向我提供的。我確實沒有準備好，缺乏經驗，而且是新人……我好幾天、好幾個星期都沒有睡覺，但最終，我知道我必須歸還，我知道我不希望對Euler的用戶群造成任何損害。」

2023年3月13日，在短短18分鐘內，一名黑客從一個流行的借貸平臺——EulerFinance盜取了價值近2億美元的加密貨幣，這是今年最大的盜竊案。僅僅三周后，他就撤銷了交易，歸還了他偷來的所有東西。

自黑客事件發生以來，該行動的負責人首次站出來解釋他對事件的看法，并聲稱他根本沒有打算保留這筆錢。

Coinage與自稱黑客的男子進行了交談，他是一名年輕的阿根廷人，名叫費德里科·海梅(FedericoJaime)，這一說法得到了其他重要證據的支持。這是他的故事。

在羅馬一個涼爽的三月夜晚，凌晨3點左右，Federico站在一家酒吧外，等待朋友，并與上帝交談。這位19歲的阿根廷人在過去的一個月里一直在尋找一些東西，但他還沒有找到。他想知道為什么。

「天哪，如果我所有的項目都在一個月內完成，為什么這次不呢？」他抬頭看著天空，心中想著。「為什么以前聽過我的話，現在卻聽不到了？」他還要幾個小時才能回到旅館。

當他終于回到家時，他卻睡不著，就像往常一樣。于是，他決定去工作。

Federico的祈禱幾乎立刻就得到了回應，也許是預言般的。他發現了他一直在尋找的東西：加密貨幣借貸程序代碼中的漏洞。他立即著手利用他的發現。

「當我工作時，我像藝術家、作家一樣工作，」Federico后來在電話中用他的第二語言英語告訴我。「為了喚醒繆斯，缺乏睡眠是件好事。」

接下來的兩天Federico都睡不著覺。當他終于在意大利醫院的病床上醒來時，他的身家增加了2億美元，但他感覺自己的背上烙下了一個詛咒。

加密貨幣世界依賴于透明度。每筆交易——向朋友匯款、購買NFT、貸款——都是公開的，并且交易是不可逆轉的。在區塊鏈上運行的應用程序同樣是公開的；任何人都可以自己檢查代碼。

隨著過去幾年人們對加密貨幣的興趣激增，整個去中心化金融應用行業也隨之興起，允許加密貨幣投資者交換代幣、獲得貸款、對價格變動進行杠桿押注并賺取利息。目前約有450億美元的加密貨幣被承諾用于DeFi協議；而2021年秋季，這一數字超過1750億美元，大約相當于摩根士丹利持有的全部存款金額。

Riot Blockchain將再向比特大陸購買5100臺螞蟻礦機S19 Pro:Riot Blockchain宣布從比特大陸購買5100臺螞蟻礦機S19 Pro，計劃于2021年2月開始接收和部署。該公司近日還披露購買了8000臺S19 Pro，因此其計劃在2021年上半年接收和部署13100臺礦機。Riot預計，根據當前因素，Riot將在2020年末實現正現金流，屆時公司的總哈希容量有望達到566PH/s。隨著這13100臺S19 Pro全面部署，到2021年6月底，Riot有望將哈希率容量提高三倍以上。在全面部署20140臺下一代礦機后，Riot估計其總運營哈希率容量將達到2.007EH/s（2007PH/s）。（prnewswire）[2020/8/27]

DeFi為加密貨幣愛好者提供了令人興奮的金融創新，與加密貨幣領域的快速發展和寬松的監管相適應。如果你想在沒有抵押品的情況下借到2億美元，或者對DOGE和PEPE等「meme」加密貨幣進行投機，那么DeFi是唯一的選擇。

與此同時，黑客將DeFi視為各種數字銀行金庫，每個金庫都有一個公共藍圖，實際上是在邀請某人嘗試搶劫。根據加密貨幣研究公司Chainaanalysis的數據，DeFi協議已成為加密貨幣黑客的主要目標，他們在2021年從DeFi竊取了22億美元，2022年竊取了31億美元，占當年被盜加密貨幣總額的80%以上。

迄今為止，最成功的加密貨幣黑客是拉撒路集團，在2022年Lazarus竊取的17億美元中，有11億美元來自DeFi漏洞。

面對無休止的攻擊，DeFi協議的應對措施是招募安全公司審核智能合約、監控威脅，甚至引誘白帽黑客。為自己竊取漏洞。即使經過嚴格審核并采取一切預防措施的DeFi協議仍然可能成為強大黑客攻擊的受害者，而這個攻擊者有時只是一個19歲的孩子，上帝站在他這一邊。

這一切都可以通過一行代碼來阻止。

回到酒店，當太陽在羅馬上空升起時，Federico開始研究由倫敦初創公司EulerLabs開發的名為EulerFinance的DeFi借貸協議。Euler允許其用戶提取高達其存入抵押品價值十倍的貸款；投入10,000美元，您就可以像100,000美元一樣進行交易。但加密貨幣具有波動性，如果價格走勢錯誤，用戶的存款可能不足以確保贖回其抵押品。這就是為什么每次用戶與Euler交互時，平臺都會檢查其帳戶的運行狀況，如果運行狀況分數過低，則會觸發自動清算。

媒體：2019 年中國公司處于區塊鏈專利申請領先地位:The Block 數據分析顯示，2019 年中國公司處于區塊鏈專利申請的領先地位。根據 Google Patents 的數據，在 2019 年總共有超過 5800 個區塊鏈專利被提交，相比 2018 年 6100 多個區塊鏈專利提交數來說，略有減少。中國公司是其中的領頭羊，在所有提交超過 20 個區塊鏈專利的公司中，有 63% 的公司總部位于中國，而美國只占了 20%。但是在所有的申請中，只有 3% 的專利在同一年內被批準。[2020/4/7]

但Federico看到了一些不存在的東西：單個Euler智能合約中的單個函數缺少健康檢查。在短短幾個小時的研究中，Federico發現了Euler團隊以及幾位獨立智能合約審計師所遺漏的地方。

「這只不過是神圣的靈感。這只不過是喚醒了我的繆斯。」Federico說。「確切地說，在尋找我要找的東西一個月后……我找到了。」

Federico開始策劃他的進攻。3月13日，經過兩天不眠不休的編程之后，他幾乎準備好執行了。唯一的問題是：他不知道如何部署智能合約，也不知道它會花費多少錢。

「我在谷歌上搜索，『部署智能合約的成本是多少？』我發現……有文章說『從5,000美元到50,000美元不等』。」Federico說道，他提高了聲音回應他所感到的難以置信。「WTF」

但Federico繼續前進，最終了解到實際的合約部署成本要低得多。此時，距離他上次睡覺幾天后，Federico告訴我他根本沒有考慮錢的事。「我認為這是一個實驗。只是一個實驗，」他解釋道。「我不確定它是否會起作用......我不確定我是否可以部署智能合約。我的疑慮多于確定性。」

「所以我真的低估了這個漏洞和我自己，因為它最終起作用了。」他補充道。

2023年3月13日上午，意大利時間上午9點54分，Federico坐在電腦前。在18分鐘的時間里，他用來發起對EulerFinance攻擊的三個錢包從該協議中竊取了價值1.97億美元的加密貨幣。這些資金最終全部存入一個錢包——一個裝滿成堆百元大鈔的虛擬行李袋。

「首先，我想，這太令人興奮了。我破解了一個巨大的協議，然后我想，哇，2億美元。這是我背上的詛咒。」

Federico仍然無法入睡，他讓酒店禮賓部叫了一輛救護車。

Freebitco.in推救濟基金Covid-19 Relief Fund，旨在抗擊新型冠狀病:知名加密游戲網站Freebitco.in已推出了一項新的救濟基金Covid-19 Relief Fund，旨在幫助抗擊新型冠狀病。據悉，Freebitco.in將把該基金募捐的收益將捐贈給Direct Relief，該組織正在與美國公共衛生當局、非營利組織和企業進行協調，為對抗冠狀病的衛生工作者提供個人防護裝備和其他物品。（Bitcoin.com）[2020/4/5]

第一個發現異常的人是機器人，一些加密安全公司為DeFi項目提供實時威脅監控和警報。在Euler黑客事件中，至少兩家安全公司Forta和Hypernative在攻擊開始前就收到了警報。

不幸的是，對于拒絕對本文發表評論的EulerLabs來說，自動警報僅在攻擊開始前幾分鐘發出，對于這家總部位于倫敦的初創公司來說，保護協議安全還為時過早。

英國時間3月11日星期一上午8:59，區塊鏈安全公司PeckShield在社交媒體上發文「嗨@eulerfinance：你可能想看一下」，并鏈接到一個頁面，顯示錢包已攻擊了Euler的DAI穩定幣供應，竊取了超過870萬美元的資金。

然后，大家就眼睜睜看著Euler一次次受到打擊。黑客偷走了1850萬美元的WBTC，然后偷走了1.16億美元的stETH...最終，黑客獲利1.97億美元，而Euler的全部6個代幣儲備均化為烏有。

上午9點56分，Euler在社交媒體上引用了PeckShield的消息表示：「我們知道，我們的團隊目前正在與安全專業人員和執法部門合作。我們將在獲得進一步信息后立即發布。」

因為這是加密貨幣，所以每個人都可以看到黑客錢包中的資金。通過查看該錢包的交易，安全專家能夠對攻擊進行逆向工程，最終發現導致盜竊的單一漏洞。但同樣由于這是加密貨幣，Euler的團隊無法將該錢包與現實生活中的身份進行關聯，也無法了解黑客的意圖。

3月13日，黑客的最后行動是通過TornadoCash發送100ETH，TornadoCash是以太坊上的一種「混合」交易協議，使資金更難追蹤。然后，該錢包地址就此沉默。

當晚10點47分，Euler團隊向黑客錢包發送消息稱：「我們了解到，您對今天早上對Euler平臺的攻擊負責。我們寫信是想了解您是否愿意與我們討論任何可能的后續步驟。」本次嘗試性的溝通標志著Euler團隊即將開啟艱難的三周時光。

第二天晚上9點22分，Euler團隊又向黑客的錢包發送了一條消息，提議在24小時內歸還90%被盜資金——讓黑客保留事實上的2000萬美元的漏洞賞金。否則，Euler將向任何提供導致黑客被捕的信息的人懸賞100萬美元。

行情 | FGI恐慌指數為19 為極度恐慌:FGI恐慌指數現為19，恐慌指數等級為極度恐懼，指數有所下降，目前市場都處在一個相對敏感階段，易產生群體恐慌，投資者請理性看待市場波動，做好風險控制。[2018/10/11]

黑客沒有回應。

3月15日上午11點20分，Euler團隊再次向黑客錢包發送了另一條消息，重申了之前的漏洞賞金提議。Euler團隊寫道：「然后調查可以停止，重點可以轉向將其分發回協議用戶，而無需走法律途徑。」

當晚10點06分，在黑客持續沉默后，Euler團隊宣布懸賞100萬美元，獎勵那些導致黑客被捕并追回資金的信息。第二天，Euler聯合創始人兼首席執行官MichaelBentley博士分享了他對此次攻擊的回應，稱前幾天是他一生中最艱難的幾天，并表達了他對受影響用戶的悲痛。

「我不得不犧牲與剛出生的兒子相處的時間，」Bentley在推特上寫道。「我永遠不會原諒攻擊者，但他們可以糾正錯誤并盡快將資金返還給EulerDAOTreasury。」

FedericoJaime聲稱他從未打算保留這筆錢。「我從一開始就知道2億美元不是一個小數字，這會對DeFi社區造成巨大損害，而這根本不是我的目標。」

我們都想知道，即使只是一瞬間，Federico是否曾想過2億美元可以買什么，想象過自己住在一座豪宅里嗎？在游艇上？

「從沒有過，一點也不，因為我是一名企業家。我可以合法地、完美地賺錢，我不需要偷，我沒有理由拿別人的錢。」

對于大多數人來說，這樣的評論最多只會引起白眼。畢竟加密社區并不以其謙遜而聞名。但我見過Federico環游歐洲、入住五星級酒店、穿著設計師街頭服飾的照片。在我們通過電話和偶爾短信進行的談話中，我問今年6月就滿20歲的Federico，他是如何維持自己的生活方式的。

Federico與父母和妹妹在布宜諾斯艾利斯長大。受到軟件工程師父親的啟發，他在12歲時學會了編程，并在14歲時以10,000美元的價格出售了他的第一個程序——視頻游戲《我的世界》的插件。「這意味著自由，因為我不再需要向父母要錢，他們為我鼓掌。」

當他長大后，Federico轉向了一款新游戲《GTAV》，他為該游戲的鐵桿粉絲運行的自定義多人游戲服務器開發了一個反作弊系統。「我發現了一個內存讀取錯誤。我看到我們可以從中獲利。」Federico說道，并補充說該軟件FiveGuard現在已歸其他人所有。「這很特別，因為當你以某種不公平的優勢進入游戲服務器時，你會立即被禁止。」

今日恐慌指數19 較昨日恐慌程度下降:據Alternative消息，今日恐慌指數為19，較昨日15上升4，恐慌程度下降，現為極度恐懼等級。恐慌指數是該網站推出的用于衡量市場恐懼情緒與貪婪情緒的指數，范圍從0到100，0代表極度恐懼，100代表極度貪婪。[2018/6/13]

Federico原本計劃去阿根廷上法學院，但在2020年畢業并應對新冠疫情后，Federico在征得父母的同意后，他決定在上大學之前請個長假。

去年十月初，Federico曾前往羅馬。去年12月，據稱他當時瞄準了在阿根廷、墨西哥和秘魯運營的加密貨幣交易平臺Buenbit，并竊取了數十萬美元。Buenbit的首席執行官FedericoOgue將這次攻擊定性為欺詐。新聞報道援引消息人士的話說，此次襲擊的損失為80萬美元，但Federico否認了這一數字。

Federico不愿就案件的細節發表評論，雖然他承認他的目標是Buenbit，但同樣聲稱媒體報道中的許多更精彩的細節要么具有誤導性，要么完全是捏造的。這位20歲的男子堅稱自己在此案中無罪，并指出他和他的律師正在與Buenbit的團隊聯系，他希望此事盡快得到解決。

而且，僅僅幾個月后，Federico就有了新的擔憂，這次是2個億。

攻擊發生時，EulerFinance擁有多達7000名用戶。兩天后的3月15日，其中一名受害者決定向黑客的錢包發送一條消息。

「請考慮退回90%/80%。我是一個只有78wstETH，作為我一生積蓄存入Euler的用戶，我不是鯨魚或百萬富翁。」DLNews確認該用戶是一位名叫SantiagoAvalos的阿根廷區塊鏈開發人員，他寫道。「你無法想象我現在陷入的混亂，完全被摧毀了……你的決定會給讓很多受影響的人如釋重負。」

Avalos一生的積蓄78wstETH當時價值超過140,000美元。Avalos發送消息十三小時后，Federico做出了回應，但不是通過短信。相反，自三天前的黑客攻擊以來，Federico首次采取行動，向Avalos發送了100ETH，比受害者在Euler崩潰中損失的價值多出約2.7萬美元。而Avalos將多余的資金轉回給了Euler，他說：「我相信他可能是被我的信息感動了。」

「這是我的真心之舉，」Federico談到他退回資金的動機時說道。「我當時很慷慨。另外，我后來發現這個人……也是阿根廷人，而且是Solidity開發人員，」他補充道。「這確實是一個非常有趣的巧合。」

Federico還沒有完成資金轉移。加上他已經兩次通過TornadoCash累計向自己發送了1100個ETH，使他的收益達到近200萬美元。當我問他為什么時，Federico告訴我：「我沒有多想。我想，如果他們給我10%的賞金，對我來說就太多了。我會盡力拿走其中的1%。」

他的下一步行動是迄今為止最令人困惑的。3月17日，凌晨5點之前，Federico再次發送了100ETH，這次是發送到一個臭名昭著的錢包，這個錢包在一年前實施了歷史上最大的加密貨幣黑客攻擊之一——從RoninBridge竊取了超6億美元資金。僅僅一個月后，美國財政部外國資產和控制辦公室(OFAC)正式將RoninBridge漏洞與Lazarus集團聯系起來。

然而當我問他這件事時，他的解釋讓我震驚。「我根本不知道這是朝鮮。我從來沒有懷疑過，」他開始說道。「我向Ronin利用者發送100ETH的原因純粹是欽佩......我想，從白帽黑客到黑帽黑客，我想表達我的欽佩。」

我驚呆了，Federico也看出來了。「我知道你沒想到我會這么說，但這是事實，」他回答道。「我認為這是當今世界最重要的領域，Ronin黑客的攻擊是一種工程行為。從這個意義上說，這是令人欽佩的……惡魔也可以是美麗的女人。」

第二天，Federico開始歸還資金，一開始分三期，每期1000ETH，當時總計約540萬美元。然后，他的錢包又陷入了休眠狀態。分析師當時都對Euler能否收回剩余資金表示懷疑。

但兩天后，即3月20日，Federico向Euler團隊發送了他的第一條信息：「我們希望讓所有受影響的人都能輕松應對。無意保留不屬于我們的東西。設置安全通信。讓我們達成協議吧。」

Federico承認這個消息有點晚了：「我試圖決定將2000萬美元保留在自己手中是否是一個好主意……因為這是Euler向我提供的，」他說。「我確實沒有準備好，缺乏經驗，而且是新人……我好幾天、好幾個星期都沒有睡覺，但最終，我知道我必須歸還，我知道我不希望對Euler的用戶群造成任何損害。」

盡管如此，Federico還是花了不少時間歸還資金。3月25日下午3點左右，首次出現81,953ETH。隨后27日，1000萬美元的DAI隨之而來。28日凌晨3點，Federico公開道歉，說道：「我搞砸了。我不想，但我擾亂了別人的錢、別人的工作、別人的生活……請原諒我。」然而，一些資金當時仍在他的控制之下。

最終，4月3日，Euler團隊興奮地宣布，在黑客的最后幾筆交易之后，所有「可收回資金」均已歸還。Euler還正式撤銷了對Federico人頭的100萬美元賞金。資金的回歸標志著DeFi歷史上最成功的復蘇之一，Federico松了口氣，一切都結束了。

然后，兩個半月后，Federico的錢包再次活躍起來，向自己發送消息。第一個是在6月17日，只有兩個詞：「Benyre」——布宜諾斯艾利斯。十七分鐘后，錢包又發來一條消息，同樣是西班牙語，自稱是阿根廷人、庇隆主義者、白帽黑客。該消息對其他黑客的建議是：「不要犯傻，不要偷竊，賺賞金。」

在消息的最后，錢包鏈接到了一個Instagram帳戶——@federicojaimeok。我給他發了一條私信。我們開始在Instagram上交談，Instagram上存檔了自2022年9月以來Federico的故事，然后我們通過Telegram進行了交談。在我們的談話過程中，這個人告訴我的一切都與我從其他來源了解到的關于Federico的信息相匹配。Federico還向我提供了他父親的電話號碼，后者證實了他自己的身份以及與Federico的關系，并向我提供了與Federico告訴我的信息相符的其他信息。

Federico告訴我，他決定露面不是為了自己的利益，而是為了DeFi社區的利益。「我想鼓勵道德黑客行為，這是主要原因，我希望能夠發出聲音，告訴人們做正確的事。」

Federico還希望Euler與攻擊者談判的策略將為DeFi的其他部分樹立一個效仿的先例。他說：「我確信去中心化金融領域的黑客場景在Euler黑客事件之后的情況會有所不同。我認為這向世界展示了審計的重要性，以及黑客攻擊后談判的重要性。」

Chainalysis調查副總裁艾琳·普蘭特(ErinPlante)表示：「不過，并不是加密貨幣領域的每個人都熱衷于漏洞賞金和黑客談判成為常態。大多數DeFi黑客并不是從合法的漏洞賞金中獲得10萬或50萬美元的報酬，而是經常索取被盜資金總額的50%或更多作為傭金，這更像是敲詐勒索。」

Plante還指出，隨著執法機構在追蹤非法加密貨幣方面做得越來越好，黑客更難兌現他們的獎金。她說：「在這種情況下，再加上整個行業的賞金集體下降，黑客從事這項工作的激勵措施有望得到改變。」

Federico一再向我堅稱，他的計劃從一開始就是歸還資金。那么為什么他花了三個星期呢？

「我想有時間保護自己，以合法的方式和其他方式找到安全的方法。」他說。

當然，Federico的一些說法無法得到證實。Federico告訴我，該協議的設計和執行完全是他的工作，盡管他偶爾會從一位同事那里得到建議，比如需要研究的DeFi協議列表

我們也永遠不會知道如果Federico更好地計劃這次襲擊，他是否會保留這筆錢。他向我承認，他很遺憾沒有考慮到后果，但他說，只是為了做正確的事情。「我只是計劃不夠，而且金額太大，我無法處理。」他說。

Federico告訴我，他對自己給Euler團隊帶來的痛苦感到遺憾。「當我看到MichaelBentley的推文說他必須犧牲與家人在一起的時間時，我的心都碎了。」他說。當我問他是否擔心這次襲擊對未來造成影響時，他否認了這一擔憂。「我相信，從法律上講，Euler團隊不會事后追溯我，因為這將阻止未來的黑客返還資金。」

EulerFinance從4月12日開始開始向攻擊受害者進行賠償，這讓受害者感到高興。該漏洞的影響已蔓延到其他11個DeFi協議。其中一項直到6月27日才恢復。自黑客攻擊以來，EulerFinance一直處于癱瘓狀態。

Federico仍在歐洲，他形容自己的個人情況「很復雜」，但表示他希望很快回到布宜諾斯艾利斯繼續學業。「自從Euler黑客事件以來，我的生活就沒那么輕松了，這給我留下了壓力。」

我問Federico，他是否認為上帝似乎回應了他的祈禱，正在給他一個教訓。「我認為他要么是在跟我玩游戲，要么是在我。」他回答道。

Tags：加密貨幣ETHstETH加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意stETH幣stETH價格

Luna