Nexus Mutual - Хью дает показания

Аппаратные кошельки и приватные ключи бесполезны, если компьютер взломан.

Все привыкли, что обезьяны должны платить налог, а трейдеры проигрывают фонды. Но то, что осторожные пользователи теряют деньги - несправедливо.

Hugh Karp из Nexus Mutual взломали и украли у него $8 миллионов.

Эта история не похожа на те, что мы обычно публикуем, поэтому мы хотели уделить ей особое внимание. Мы не уважаем жадность и нетерпеливость, но когда человек становится мишенью и в этом нет его вины, он заслуживает сострадания.

Этой атаке мог подвергнуться любой из нас.

Мы поговорили с Hugh через неделю после атаки. Далее следует выдержка из его официального заявления.

В понедельник 14-го декабря в 9:40 утра UTC, мне подсунули на подтверждение транзакцию, которая перевела 370,000 NXM хакеру вместо того, чтобы вывести вознаграждение за майнинг, как я думал. Позже хакер обменял большую часть NXM на ETH/BTC и распределил их по нескольким разным адресам и обменникам.

rekt:

Привет, Hugh,

Спасибо, что согласился с нами поговорить; прежде всего, мы хотим сказать, что нам жаль, что это случилось с тобой.

Мы не хотели освещать эту историю, не поговорив с тобой сначала, потому что в этой атаке гораздо больше личного, чем в тех, которые мы обычно описываем.

Прошла всего неделя после атаки. Не говоря о финансовой потере, как инцидент повлиял на тебя?

Hugh:

Честно говоря, было довольно жестко. Эмоциональные американские горки и бессонница, особенно в первые дни. Но сейчас все приходит в норму.

Первые 3 часа были самыми ужасными. Уверен, что многие причастные к криптовалютам прошли через это. Все внутри переворачивается, все тело трясет и силы покидают.

Команда Nexus и другие ребята из сообщества в этот момент очень помогли мне. Rox (наш технический директор) и Anatol (эксперт по безопасности) взяли ситуацию под контроль и сказали, что делать дальше. Потом подключилось сообщество и начало отслеживать деньги и помогать в остальном.

rekt:

Не удивительно, что потеря 8 миллионов долларов вызвала физическую реакцию. Должно быть, это было ужасно.

Как ты справляешься с этим психологически? Это изменило твое мнение об индустрии?

Hugh:

Думаю, в этом плане у меня все в порядке. Я стараюсь смотреть на вещи в долгосрочной перспективе и не забывать, что до лета DeFi NXM стоили всего 3 доллара. Даже если я потерял очень много денег, у меня их не было еще 4-5 месяцев назад. Стартап это всегда американские горки, сейчас я внизу, но я уверен, что все наладится.

rekt:

Твой отчет об инциденте впечатляет.

В одной из частей ты написал:

«Между жертвами похожих атак есть связь.»

Можешь пояснить, в чем заключается эта связь?

Hugh:

Прямо сейчас я не могу вам дать много деталей, потому что еще ведется расследование. Но мы знаем, что есть еще как минимум 2 других члена Nexus Mutual, которые пострадали от похожего инцидента. И, как ни странно, через другие контакты затронуты несколько других жертв. Мы нашли оба аккаунта, когда отслеживали передвижения средств.

Я догадываюсь, что есть мнение, что это была специально нацеленная атака и обычным пользователям DeFi не такого не стоит опасаться. Думаю, это в какой-то степени правда. Но я бы отметил, что не нужно быть большой рыбой, чтобы стать мишенью. Я обычно советую не злоупотреблять мнением «со мной такого не случится».

rekt:

Ты использовал аппаратный кошелек, твои приватные ключи были в безопасности. Что могут сделать пользователи, чтобы с ними такого не случилось?

Hugh:

Я думал об этом все время после атаки, и честно говоря, я не уверен, что нашел самое лучшее решение. Аппаратный кошелек показывает достаточно информации, чтобы ты мог точно быть уверенным в том, что именно ты подтверждаешь. Но нужно иметь достаточно технических знаний, чтобы понимать это. Обычные трансферы хорошо известных токенов не проблема, но любое взаимодействие со смарт-контрактом обычному пользователю практически невозможно понять. Лично я теперь проверяю всю информацию по транзакции на внешних источниках, но я не думаю, что это решение подойдет всем.

rekt:

В отчете ты пишешь: «Мой компьютер был взломан и метамаска изменена с диска»

У тебя есть версии, как твой компьютер могли взломать?

Hugh:

Полного представления еще нет, мы все еще проводим полную диагностику моего ноутбука. Мы думаем, что вирусная программа была подослана coinbene dot team, но она могла прийти и из другого источника.

rekt:

На Твиттере были сообщения, в которых предполагалось, что ты вычислил хакера. Можешь нам рассказать, как ты с ними взаимодействуешь?

Hugh:

Наш технический директор Roxana коротко переговорила с одним из хакеров в телеграме. Но мы также установили связь между ними и их жертвами, отслеживая транзакции и из разговоров с полицией. Я больше ничего не могу рассказать по этому делу пока что, кроме того, что мы считаем, что это очень серьезная группа хакеров.

rekt:

Вы обращались в полицию по поводу этой атаки?

Hugh:

Да, мы обращались в Британскую полицию. Они работают вместе с другими юрисдикциями. Наше дело связали с другими похожими атаками, оно стало частью одного большого расследования.

rekt:

Показалось ли тебе, что у полиции достаточно опыта в расследовании таких дел?

Мы изучаем много атак и эксплоитов, в которых задействованы большие суммы денег, но силы правопорядка редко обращают на них внимание. Как ты думаешь, почему?

Hugh:

Не думаю, их скорее обучали заниматься мошенничествами по кредиткам и подобными небольшими делами. Другая большая проблема - это интернациональный масштаб, это замедляет обмен информацией и требует больше усилий для координирования действий.

rekt:

Протоколы страхования дают хакерам возможность умножить прибыль, если они оформляют страховку перед тем, как хакнуть протокол. Тебе приходилось сталкиваться с доказательствами таких тактик? Такая возможность в принципе имеет право на существование?

Hugh:

Мы пока с таким не сталкивались, но думаю, еще придется. В Nexus Mutual мы запрограммировали доказательство потери, поэтому вам нужно доказать, что вы контролируете пострадавший аккаунт. Это поможет избежать большого ущерба.

Страховые продукты могут работать и без этого условия, но тогда они будут обходиться дороже, потому что дополнительные выводы средств будут платными. Для устойчивых продуктов в долгосрочной перспективе выгоднее максимально выровнять проценты.

rekt:

Сообщество создало грант Gitcoin, чтобы возместить часть твоих потерянных денег. Ты сказал, что эти деньги пойдут на разработку инструментов безопасности - можешь рассказать нам поподробнее?

Hugh:

Это правда. Я еще не разобрался со всеми деталями, но цель в том, чтобы помогать проектам или продвигаться в работе над техническими моментами, чтобы иметь персональные кошельки с высоким уровнем защищенности и классным пользовательским интерфейсом. Я знаю, что многие команды работают над этим, но нам предстоит еще долгий путь, а нам критически важно, чтобы у большего количества людей в крипто-сфере были классные кастодиальные решения. В моей ситуации у меня достаточно крупный портфель, но это не изолированный случай. Надеюсь, что это станет отличной возможностью, чтобы ускорить процесс.

rekt:

Если нашим читателям захочется помочь или узнать больше об этом проекте, где искать информацию?

Hugh:

Если вы захотите сделать пожертвование в фонд, то вот ссылка.

Если вам интересно узнать больше о Nexus Mutual, вы можете найти нас на @NexusMutual в Twitter или связаться с нами в Discord here.

rekt:

Спасибо, что пообщался с нами.

Hugh:

Без проблем, спасибо за такую возможность и спасибо, что были со мной добрее, чем обычно!

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.