Мы публикуем перевод статьи Кристофера Бима для издания Bloomberg от бюро переводов Профпереклад, где автор рассказывает историю 18-летнего вундеркинда-математика. Он воспользовался слабым местом в коде Indexed Finance и вскрыл юридический парадокс, от которого до сих пор трясет все блокчейн-сообщество. А потом исчез.
Заглавное фото: Лоуренс Дэй — Joanne Coates for Bloomberg Businessweek
14 октября Лоуренс Дэй сидел у себя дома в Англии. Он готовился пообедать рыбой и жареной картошкой, когда зажужжал телефон. Пришло сообщение от коллеги, который работал с Лоуренсом на Indexed Finance. Это криптовалютная платформа, которая создает токены, представляющие корзины других токенов – как индексный фонд, только в блокчейне. Коллега прислал скриншот недавней торговой операции, а следом вопросительный знак.
«Если не знаешь, куда смотреть, можно было подумать: о, неплохая сделка», – поясняет Дэй.
Но он знал достаточно, чтобы встревожиться. Какой-то пользователь скупил конкретные токены по радикально сниженной цене, что по идее было абсолютно невозможно. Что-то пошло не так.
Дэй подскочил с дивана, разбросав еду по полу, и кинулся в спальню звонить сооснователю Indexed Диллону Келлару. Келлар в тот момент сидел в гостиной своей матери, в шести часовых поясах от Дэя, и разбирал DVD-плеер, выковыривая из него лазер. Он ответил на звонок и услышал запыхавшегося Дэя с сообщением, что платформа подверглась атаке.
«Я только и сказал: “Чо?!”» – вспоминает Келлар.
Они вытащили ноутбуки и закопались в код платформы – им помогали несколько знакомых и кот Дэя, Финни (названный в честь Гарольда Финни, первопроходца в Bitcoin), который забрался на плечо к хозяину в знак поддержки.
Indexed строилась на блокчейне Ethereum, публичном реестре, где хранились данные о транзакциях. Это означало, что там есть и записи об атаке. Команда несколько недель пыталась в точности определить, что именно произошло. Похоже, платформу взломали и сделали так, чтобы токены пользователей резко обесценились, после чего были проданы взломщику с огромной скидкой. Ответственный за эту атаку заполучил активы стоимостью $16 млн.
Келлар и Дэй остановили отток и исправили код так, чтобы предотвратить дальнейшие атаки, а затем уже принялись за работу с общественностью. На каналах платформы в Discord и Telegram владельцы токенов обменивались теориями и взаимными упреками. В некоторых случаях обвиняли команду платформы и требовали компенсации. Келлар принес пользователям извинения в Twitter и взял на себя ответственность за то, что проглядел «дырку» в коде. «Я облажался», – написал он.
Теперь нужно было найти того, кто инициировал атаку, и попытаться вернуть деньги. Считается, что чаще всего такие схемы в крипте применяет внутренний персонал («виновен, пока не доказано обратное»).
«По умолчанию спросят, кто это сделал и почему разработчики этим занимаются?» – говорит Дэй.
На следующее утро после атаки Дэй вдруг осознал, что не поговорил с одним конкретным партнером. Неким кодером под ником UmbralUpsilon – анонимность в криптосообществе обычное дело. За много недель до атаки он написал Дэю и Келлару на Discord и предложил создать бота, который повысит эффективность платформы. Они согласились и заплатили ему первоначальный взнос за работу.
«Мы надеялись, что он регулярно будет участвовать в развитии платформы», – говорит Келлар.
Поскольку общались они довольно много, Дэй ждал, что UmbralUpsilon предложит помощь или хотя бы посочувствует после атаки. Вместо этого – полная тишина. Дэй поднял логи чата и обнаружил, что в нем осталась лишь половина сообщений. UmbralUpsilon удалил свои сообщения и сменил ник.
«Увидев это, я выскочил из кровати как ошпаренный», – рассказывает Дэй.
Он поделился подозрениями с командой, и следующие несколько дней все рыскали по сети в поисках цифрового следа взломщика. Обнаружили, что кошелек Ethereum, который использовали для перевода токенов во время атак, был подвязан к другому кошельку, на который перечислили выигрыш после недавнего хакерского состязания. Кошелек принадлежал участнику, который иногда называл себя UmbralUpsilon. Подняли регистрационные данные – оказалось, кошелек привязан к профилю на GitHub.
У хозяина профиля на GitHub электронная почта начиналась с «amedjedo» и была связана с доменом администрации государственной школы в Онтарио. Дэй с коллегами также нашли профиль редактора в Wikipedia с похожим ником. Редактор однажды вносил изменения на странице популярной канадской интеллектуальной игры для учащихся старших классов – дописал имя в колонке «Выпускники»: «Андеан Медьедович, выдающийся математик». Google довершил остальное. Медьедович до недавних пор учился на магистратуре в Университете Ватерлоо в Онтарио по специальности «математика». В его резюме сказано, что он интересовался криптовалютами.
Команда облегченно выдохнула. Если кибервзломщиков удается идентифицировать, они часто возвращают похищенные средства в обмен на награду для «сохранения лица» и статус «доброго хакера». Дэй уже связался с UmbralUpsilon и предложил 10% за безопасное возвращение всех токенов. Даже сдержанно похвалил («отлично разыгранная комбинация»). Ответа не получил. Келлар прибегнул к другой тактике – принялся писать Медьедовичу, называя его «Андеан». На этот раз Медьедович отреагировал и открыто высмеял пользователей Indexed в Twitter:
«У вас был ауттрейд. Вы ничего с этим не сделаете… Так работает крипта».
Один из участников команды написал ему лично и предложил $50 тыс. за возвращение токенов. Медьедович в ответ прислал ссылку на кошелек в Ethereum: «Присылайте деньги». Разумеется, ребята не попались на эту удочку. В довершение ко всему выяснилось, что взломщику всего 18 лет.
Наконец, Келлар отправил Медьедовичу последнее предупреждение и пригрозил, что они будут вынуждены обратиться к юристам и полиции.
«Предлагаю тебе сдаться сейчас и не портить себе жизнь», – написал он.
Подросток ответил смайликом, который покатывается от хохота, и дописал: «Ну удачи вам».
Келлар
Фото: Cindy Elizabeth for Bloomberg Businessweek
Когда Келлар и компания создали Indexed, они представляли платформу как следующий шаг в DeFi (протоколах децентрализованных финансов). Это движение, которое основано на блокчейне и предлагает более автоматизированную систему кредитования, торговли активами и управления портфелями с минимальным количеством посредников. Некоторые сторонники заняли утилитарную позицию по поводу DeFi. Они считают эту систему улучшенной версией «традиционных финансовых операций», где царят платные посредники, а решения принимают люди и очень медленно. Другие заняли позицию либертарианцев и рассматривают DeFi как побег от нынешней системы, способ обойти правила и ограничения, установленные правительствами или корпорациями. А есть и скептики, для которых все это – очередной развод.
Келлар считает себя «очень прогрессивным» и недвусмысленно подписывается под утилитарной точкой зрения. Ему 23, и он уже успел бросить учебу в Техасском университете в Далласе, когда понял, что на лекциях по компьютерным наукам не узнает ничего нового. Он основал Indexed, чтобы решить проблему: ты хочешь торговать криптой, но не хочешь ежедневно возиться с портфелем.
В «традиционных» финансах инвесторы, которым нужен широкий и сбалансированный набор ценных бумаг, могут приобретать акции индексных фондов и перепоручать ежедневную работу по покупке-продаже акций инвестиционному менеджеру. Келлар хотел сделать аналогичную схему в блокчейне, но с алгоритмом – драйвером торгов. Менеджер индексного фонда ведет портфель, в котором содержатся основные активы индексной акции. Алгоритм Indexed позволяет вести пул основных токенов для каждого индексного токена. Пользователи могут отправить один из основных активов в пул в обмен на индексный токен – этот процесс называется minting («чеканка», минтинг). Аналогично можно «сжечь» индексный токен, если отправить его обратно в пул в обмен на один или все основные активы. Или, как в биржевом фонде, пользователи могут просто покупать или продавать индексные токены на децентрализованных биржах (например, на Uniswap).
Индексные фонды имеют множество форм, и у каждого есть своя инвестиционная стратегия. Такие фонды, как S&P500, взвешиваются по рыночной капитализации. Если ценность одного из активов растет, пропорциональная ценность этого актива в составе портфеля тоже, соответственно, поднимется. Другие хотят поддерживать фиксированный баланс бумаг. К примеру, вы хотите, чтобы акции Microsoft постоянно составляли 20% вашего портфеля. Если стоимость акций поднялась, менеджер продаст часть, чтобы сохранить эти 20% по оценке.
Келлар с командой смоделировали Indexed, основываясь как раз на таком типе фондов. Они использовали автоматизированный маркетмейкер (АММ), чтобы поддерживать баланс основных активов, как это делают многие платформы DeFi. В отличие от традиционного маркетмейкера, AMM не будет сам покупать и продавать активы. Он скорее поможет установить желаемый баланс активов в пуле, скорректировав пуловую цену составляющих его токенов. Тогда у трейдеров будет мотивация покупать их из пула или продавать в пул. Когда в пуле требуется большее количество какого-то конкретного токена, цена на этот токен в пуле вырастет. Когда нужно уменьшить объем токена в пуле, цена будет падать. Такая модель предполагала рациональное взаимодействие пользователей с протоколом (покупаешь по низкой цене, продаешь по высокой).
Устранив менеджеров-людей, Indexed могла отказаться от менеджерских комиссий (к примеру, крупнейший конкурент платформы, Index Coop, брал 0,95% только за владение самым популярным индексным токеном). Indexed брала комиссию за сжигание токенов и своп-активов в пределах пула, но только с незначительного количества пользователей. Также можно было урезать затраты, ограничив взаимодействие между платформой и внешними субъектами. Например, когда Indexed нужно было рассчитать общую стоимость активов в пуле, вместо проверки цен на токены на бирже типа Uniswap она иногда экстраполировала ценность и вес крупнейшего токена в пуле (так называемого эталонного, или бенчмарк-токена). Таким образом сокращаются затраты на транзакции в блокчейне Ethereum. Келлар рассматривал полную пассивность как «естественное продолжение алгоритмов нынешней работы индексных фондов».
Однако пассивность также создавала риск. Если с кодом есть какие-либо проблемы, кто-нибудь может этим воспользоваться напрямую, раз нет дополнительного фактора защиты в виде посредников-людей. Ограничение взаимодействий в блокчейне с целью уменьшения затрат предполагало компромисс: когда в смарт-контракте (это скрипт, который исполняется автоматически при конкретных условиях) заложено меньше этапов, появляется возможность создать дыру в системе безопасности.
Список взломанных криптоплатформ уже довольно длинный и растет с каждой неделей (Poly Network, Wormhole, Cream Finance, Rari Capital и так далее).
«В DeFi часто говорят, что есть два типа протоколов, – поясняет Дэй. – Те, которые уже хакнули, и те, которые вскоре хакнут».
Келлар знал об одной возможной лазейке для взломщиков. Это механизм Indexed, который использовали для введения токена в пул. Допустим, происходит переиндексация – например, после того как один токен обогнал другой по рыночной цене, чтобы можно было внести его в фонд «голубых фишек». При этом в пуле устанавливается первичная цена нового токена, для этого используют сложное уравнение. Одна из переменных в таком уравнении – стоимость эталонного токена. Если каким-то образом вмешаться в процесс ценообразования такого токена в пуле, теоретически можно обмануть пул, чтобы он назначил более низкую цену и другим своим токенам.
«Я возился с этим почти две недели», – говорит Келлар. Однако он не нашел никаких ошибок. Не нашли их и два специалиста по безопасности, которым он заплатил за проверку кода. «Я решил, что это не может быть вектором атаки», – признается он. Тем не менее на сайте Indexed вывесили предупреждение: «Мы уверены в безопасности наших контрактов … [но] не можем гарантировать стопроцентного отсутствия ошибок».
Платформа дебютировала в декабре 2020 года с двумя индексными токенами: CC10, который представлял 10 топовых Ethereum-токенов по уровню рыночной капитализации, и DEFI5, который представлял пять топовых токенов DeFi. Вскоре у проекта появилась пусть небольшая, но преданная группа подписчиков, включая Дэя. У него была докторская степень по теоретическим компьютерным наукам и диплом магистра по финансовому инжинирингу (оптимизация портфеля биржевых индексных активов). Indexed соответствовала его интересам и удовлетворяла относительно невысокую склонность к риску. «Когда речь идет об инвестировании во что-либо, кроме крипты, я в этом отношении довольно скучная личность», – говорит Дэй.
Дэй и Келлар неплохо поладили. У них было одинаково абсурдистское чувство юмора. Эксперт по финансам с писательской жилкой и креативный кодер очень органично дополняли друг друга в профессиональном плане. «Я больше гуманитарий, а Диллон – больше технарь», – поясняет 33-летний Дэй. Он бросил работу в нефтегазовой компании и стал штатным сотрудником Indexed в апреле 2021 года.
В тот год интерес к крипте резко возрос, так что Indexed быстро взлетела и вскоре стала вторым крупнейшим Ethereum-протоколом после Index Coop. Ребята наращивали амбиции, выкатывали все новые индексные токены и планировали апгрейд, который позволит зарабатывать проценты на активах в пуле.
Владельцы DeFi-платформы Balancer, код которой взяли в качестве образца для Indexed, так впечатлились, что дали Indexed грант. Это фактически обеспечило уверенность в его будущем.
Когда заработал Indexed, Медьедович, которого все зовут просто Энди, только начал работать над своим магистерским дипломом. Через год должен был закончить. Обычно он все делал быстро. Учил математику за десятый класс еще в начальной школе, выпустился в 14, бакалаврский курс в Ватерлоо закончил за три года. (Ватерлоо считается одной из лучших канадских школ с математической и компьютерной специализацией, здесь же учился сооснователь Ethereum Виталик Бутерин.) К осени 2021 года Медьедович защитил магистерский диплом по теории случайных матриц и планировал подаваться на докторские программы.
«Не могу припомнить ни единого студента в мое время, которому удалось бы получить степень в таком молодом возрасте», – утверждает Дэвид Джао, профессор математики в Ватерлоо.
Несмотря на академические успехи, в социальном плане Медьедовичу недоставало зрелости. Бывший одноклассник, пожелавший остаться анонимным, вспоминает, что парень был «самоуверен, даже заносчив» и свысока смотрел на всех, кто не дотягивал до него в интеллектуальном плане. «Он считал истиной в последней инстанции все, что делал или говорил», – добавляет одноклассник. Медьедович явно заигрывал с экстремистскими идеями. Люди слышали, как он высказывался за превосходство белой расы и евгенику. (Сам Медьедович никак не отреагировал на просьбу дать комментарий для статьи.)
Тем не менее Медьедовичу удавалось заводить друзей – за игрой в шахматы и с помощью видеоигры League of Legends. Ему нравилось читать художественную литературу, особенно в жанре научной фантастики. В его профиле в соцсети была цитата из «Колыбели для кошки» Курта Воннегута о тщетности стремления человечества к знаниям:
«Тигр должен охотиться, а птица – летать. Человек должен сидеть и удивляться: “Почему, почему, почему?” Тигр должен спать, птица – приземляться. Человек должен говорить себе, что он все понимает».
Медьедович также развивал навыки написания кода, регулярно участвовал в онлайн-соревновании для хакеров Code4rena, или C4. Это конкурс для разработчиков с денежным призом от компаний, которые ищут слабые места в своих системах безопасности. Он выиграл призы в двух соревнованиях C4. «Он казался довольно дружелюбным и классным, – вспоминает Адам Авенир, который помогал проводить C4 и общался с Медьедовичем до и после атаки на Indexed. – Молодой, искренний парнишка».
Медьедович заинтересовался DeFi, особенно механикой АММ. «Когда я слышал о выходе нового продукта в DeFi, сразу брался изучать, как он работает, и вкладывал деньги, если мне приходила в голову хорошая идея», – писал он в электронном письме. (Медьедович отказался дать интервью по телефону, но согласился ответить на вопросы по электронной почте.) По его оценкам, он провел сотни часов, «балуясь с математикой в основе АММ, экспериментировал с прибыльностью разных стратегий». Затем он стал создавать ботов, которые занимались арбитражным трейдингом на этих платформах. Так он понемногу зарабатывал и помогал пулам работать эффективнее.
Прочитав об Indexed на форуме, он рассмотрел смарт-контракт и заметил в коде «возможность для искажения цен» (тот самый инструмент, который, как опасался Келлар, может позволить пользователям исказить внутренние ценовые расчеты пула при введении новых токенов). Он также заметил, что можно обойти ограничитель размера некоторых торговых операций в пределах пула. «Поначалу я не поверил своим глазам», – говорит он. Медьедович несколько раз делал теоретические расчеты, «и на бумаге они работали». Следующий месяц он провел за написанием скрипта для взлома платформы.
Он связывался с командой Indexed через Discord под ником UmbralUpsilon, задавал базовые вопросы о структуре активов и цене, предлагал написать арбитражный бот для платформы. «Подозреваю, он прощупывал почву, искал, не открою ли я ему какую-нибудь лазейку, в которую он мог бы просочиться», – говорит Дэй, вспоминая эту переписку. Келлар и Дэй утверждают, что информация, которой они делились с ним, не могла способствовать атаке.
Наконец, в середине октября Медьедович был готов к развертке кода. Что немаловажно, два крупнейших пула в Indexed как раз «созрели» для переиндексации. Был нужен лишь один пользователь, который введет минимальное количество нового токена – в обоих случаях это был Sushi, токен, соответствующий DeFi-бирже SushiSwap.
Для взлома «слабого места» требовались сотни команд – их объяснения в суде растянулись на десятки страниц. Но сам процесс состоял всего из нескольких ключевых этапов. Для атаки на пул токенов DEFI5 (а позднее и на пул CC10) Медьедович написал программу, которая брала флеш-кредит на $157 млн. Флеш-кредит, или мгновенный займ, – это механизм в криптотрейдинге, который дает пользователям доступ к средствам до тех пор, пока их возвращают в том же наборе предварительно запрограммированных транзакций.
После этого скрипт использовал значительную часть заемных средств для скупки почти всех UNI-токенов в пуле (токенов, соответствующих DeFi-бирже Uniswap). Внезапная нехватка UNI привела к резкому скачку их стоимости в пуле – алгоритм пытался остановить вывод UNI из пула и вынудить трейдеров вернуть их обратно для восстановления баланса. Чем больше UNI-токенов покупал Медьедович, тем дороже они становились. В итоге цена превысила стоимость на внешнем рынке в 860 раз. Всего он потратил токенов на $109 млн, чтобы скупить UNI общей стоимостью всего $5,2 млн.
Со стороны такой трейдинг казался безумием, однако UNI играл уникальную роль в пуле DEFI5. Он был тем самым эталонным токеном – именно с него пул экстраполировал свою общую стоимость. При резком снижении объема UNI в пуле общая стоимость, по оценке самого пула, была в 380 раз ниже, чем на самом деле. В результате стремительно упало количество нового введенного токена Sushi, которое требовалось бы для минтинга токенов DEFI5. Медьедович теперь мог обменять Sushi-токены стоимостью $3,2 тыс. на токены DEFI5 стоимостью $1,172 млн, если бы захотел. И если бы он это сделал, с Indexed все было бы в порядке. Протокол устанавливает лимит на количество новых токенов, которое пользователи могут переслать в пул. Поэтому он бы смог вытащить от силы 1,5% стоимости пула. С учетом комиссии это было бы для него вообще невыгодно.
Вместо этого скрипт Медьедовича взял еще один флеш-кредит из Sushi-токенов на $2,4 млн. Но не продал в пул, а просто подарил – казалось бы, иррациональный шаг, к которому алгоритм Indexed вообще был не готов и не приспособлен. Такой «подарок» перегрузил пул и обошел обычный торговый лимит на новые токены. Это позволило Медьедовичу свободно торговать Sushi по завышенной цене, обменивая их на токены DEFI5 с заниженной ценой, а затем обналичить их за основные активы пула, выплатить займы и сохранить остаток в размере $11,9 млн. Атака на пул CC10 довела общую стоимость «добычи» до $16 млн.
В своих письмах Медьедович вспоминал, что был удивлен успехом своего эксплоита. «У меня была всего пара пробных запусков, чтобы отладить его», – писал он. Если бы затея не удалась, у него бы закончились деньги на комиссию за операции в блокчейне.
«Это и впрямь было впечатляюще, – говорит Келлар. – Но такому таланту можно было найти применение получше».
Если Медьедович и подумывал вернуть токены, то недолго. Когда команда Indexed установила его личность, он запостил в Twitter дерзкое сообщение:
A single frog hops in the pool, does something cool;
To boil him, they try. ‘Don’t arb that,’ and they start to cry.
But the frog is not dismayed, for he has god on his side.
(Одна лягушка прыгает в бассейн, делает кое-что классное.
Ее пытаются сварить. Арбитраж не работает, и они плачут.
Но лягушка не унывает, потому что бог на ее стороне.)
В комментариях народ вовсю восторгался его находчивостью. Кто-то запостил эмодзи с короной. Еще кто-то написал: «Обожаю этого парня».
Некоторые осуждали его за расизм и тропы: адрес в Ethereum, использованный для атаки, содержал цифру 1488, которая означает неонацисткий слоган. В сам код он вписал слово на букву Н («наци» или «нацизм». – Прим. пер.) 16 раз. Один из пользователей Twitter назвал его Диланом Руфом для Balancer-пулов (отсылка к массовому убийце, который расстрелял девятерых афроамериканцев в церкви в Чарльстоне в 2015 году). Медьедович лайкнул этот твит.
Последующие недели были настоящим адом для Келлара и Дэя. Они перестраивали протокол, готовили ответный удар и разрабатывали план компенсации для владельцев токенов. Будто этого было мало, Финни, кота Дэя, насмерть сбила машина.
9 декабря, почти два месяца спустя, Келлар и Дэй подали в суд на Медьедовича в Онтарио. Согласно их заявлению, его действия являлись мошенничеством и его следует заставить вернуть токены первоначальным владельцам. Оказалось, что они не первые в очереди. Анонимная компания из штата Делавер под названием Cicada 137 LLC уже судилась с Медьедовичем, но дело заморозили. Келлар с Дэем узнали о нем лишь после того, как подали свой иск. Согласно исковому заявлению, Cicada 137 при взломе потеряла больше всего токенов, примерно на $9 млн. (Бенджамин Батгейт, адвокат Cicada 137, отказался раскрыть личности своих клиентов.)
К тому моменту, как Келлар и Дэй оказались в суде, Cicada 137 уже добилась ордера, который заморозил указанные токены. Суд не мог фактически контролировать кошельки Медьедовича, но если бы тот попытался их тронуть, то нарушил бы закон. Cicada также добилась ордера на обыск в доме родителей Медьедовича, где он жил. Обыск провели 6 декабря, но Медьедович успел оттуда съехать, прихватив все компьютерное оборудование. Родители и младший брат понятия не имели, где он.
Адвокаты Келлара и Дэя заявили, что два конкретных этапа атаки нарушали законы о запрете рыночных манипуляций и компьютерном хакерстве. На одном этапе почти все UNI-токены выводились из пула DEFI5 через своп. В любых других условиях это совершенно иррациональная операция. Она искажает ценообразование до такой степени, что Медьедович смог выкупить токены у пользователей Indexed, которых алгоритм вынудил их продать.
«Единственной целью такой операции было ввести в заблуждение владельцев и заставить их расстаться с токенами на условиях, на которые они бы никогда не пошли, – поясняет Стивен Эйлвард, адвокат Келлара и Дэя. – Мы утверждаем, что это вид рыночной манипуляции».
Тот же аргумент применим и к операции Медьедовича с пулом CC10.
Вторая незаконная транзакция, по их утверждениям, когда Медьедович перегрузил пул свободными Sushi-токенами и обманул алгоритм, что позволило ему обойти лимит на объем некоторых операций. Эйлвард называет это «намеренным актом со стороны Андеана, направленным на деактивацию меры защиты, по аналогии с отключением охранной системы в банке». Он заявляет, что по законам Канады подобные действия попадают под «чрезвычайно широкое» правовое определение хакерства. Его можно интерпретировать как «подрыв целевого назначения компьютерной системы».
Медьедович официально не отреагировал ни на один иск. Мне он сказал, что у него даже нет адвоката в Онтарио. Однако в нашей переписке он утверждал, что провел абсолютно легальную серию торговых сделок. Ни одно его действие не касалось «получения доступа к системе, к которой мне запретили доступ. Я не крал ничьих личных ключей. Я взаимодействовал со смарт-контрактом согласно его же публично прописанным правилам. Люди, которые потеряли токены в этой сделке – другие пользователи, которые хотели применить смарт-контракт для собственной выгоды. Они приняли условия рискованных сделок, в которых, очевидно, не разобрались до конца». Медьедович добавил, что сам пошел на «серьезный риск», когда применил такую стратегию. Если бы она не удалась, он бы потерял «большую часть своего портфеля». (3 ETH, которые он потерял на комиссии, в то время стоили около $11 тыс.)
Это дело поднимает несколько очень серьезных и сложных вопросов о том, как именно можно позволять людям взаимодействовать с кодом в блокчейне. К примеру, истцы утверждают, что Медьедович умышленно «ввел всех в заблуждение» путем манипуляции со стоимостью токенов в пулах. Но кто именно это сделал – Медьедович или алгоритм? Барри Сукмен, юрист из Торонто, который специализируется на информационных технологиях, говорит, что эта разница определений ни на что не влияет: «Люди несут ответственность за работу технологий, которыми управляют».
Если же Медьедович действительно замешан в мошенничестве, то кого обманули? Эндрю Лин – юрист из Далласа, который консультирует Медьедовича, но формально не участвует в канадских судах. Он использует этот аргумент, чтобы отвергнуть заявление о «намеренном введении в заблуждение».
«Неясно, кого именно он ввел в заблуждение, – поясняет Лин. – Он написал код. Код сам по себе не является ни правдой, ни ложью».
Невозможно предсказать решение суда, не зная всех фактов, которые могут всплыть во время слушаний. Так считает Андреа Матвишин, профессор права и инжиниринга в Университете штата Пенсильвания, изучающая кибербезопасность. Однако дело вряд ли можно назвать четким и понятным, особенно с учетом аргумента Медьедовича о принятии риска. «Люди на Уолл-стрит часто быстро зарабатывают много денег, когда видят дыру и проводят стратегическое исследование, – говорит Матвишин. – Вполне могу представить мир, в котором судья взвешивает различные факторы, предварительно изучив техническую и финансовую специфику подобного сценария. А затем приходит к выводу, что были переменные, благодаря которым эта операция превращается в спекулятивный трейдинговый сценарий».
DeFi работает в правовой и регуляторной «серой зоне», которая тоже не привносит ясности. Любой человек, у которого есть технические знаниями, может создать инвестиционный механизм, вывести его в онлайн и подвергнуть пользователей риску эксплоита. Глава Комиссии США по ценным бумагам и биржам Гэри Генслер сказал, что планирует править на платформах, которые занимаются трейдингом криптовалют. Дэн Берковиц, бывший специальный уполномоченный Комиссии по торговле товарными фьючерсами США, а сейчас генеральный советник SEC, назвал сферу DeFi «рынком по Гоббсу» с продукцией, которая нарушает законы о торговле сырьевыми товарами. В марте Белый дом издал правительственное распоряжение о принятии регламентов, которые помимо прочего «снизят возможные риски цифровых активов для потребителей, инвесторов и бизнеса».
Предложенные регламенты, может, и не предотвратили бы атаку на Indexed, но снизили бы риски и помогли информировать трейдеров о потенциальных угрозах. Так считает Райан Клементс, профессор права в Университете Калгари. Возможно, до запуска следует установить обязательную «проверку кода» аккредитованными компаниями, а также регистрацию под реальными именами. Однако, по словам Клементса, все это будет очень трудно реализовать. Правительства не могут заблокировать децентрализованные платформы так, как это можно сделать с веб-сайтами, поскольку они работают на глобальных блокчейнах. А даже если бы и могли, тут же возникнут платформы-имитаторы.
Пуристы DeFi предпочли бы, чтобы правительства держались от их платформ подальше. Крис Блек, заведующий сайтом DeFi Watch, написал в Twitter, что атака на Indexed была «позором для DeFi», и раскритиковал команду платформы за обращение к централизованному учреждению (то есть в суд) за помощью. Келлар утверждает, что альтернативы не видит – в сфере DeFi нет собственной судебной системы. В любом случае он считает, что DeFi должны работать в существующем правовом поле.
«В плане регулирования и управления проектами эта сфера должна оставаться децентрализованной, – говорит он. – Но для внедрения и выполнения основных правил нужен центральный орган».
Через неделю после подачи иска Келларом и Дэем Медьедович явился на виртуальное слушание в Zoom. Камера была выключена, и он почти ничего не говорил. Судья приказал ему или перевести активы нейтральному третьему лицу, или через неделю явиться в суд лично. Когда подошел указанный срок, Медьедович так и не перевел токены, да и в суд не пришел. Судья выдал ордер на его арест.
Дело зависло, пока Медьедовича не найдут или пока он сам не решит вылезти из норы. В аналогичном деле, не связанном с криптой, суд мог бы просто приказать банку заморозить счета или сдать активы, едва истец получит заочное решение. Но из-за характера криптокошельков, для доступа к которым нужен личный ключ, судебные органы не могут конфисковать эти токены без Медьедовича. Я спросил его, потратил ли он что-то из заработанного. Он ответил: «Я не трачу деньги». Тем не менее кто-то недавно вывел с кошелька, который использовали для атаки на Indexed, почти $400 тыс. Токены ушли в криптовалютный тумблер, который не дает отслеживать их в дальнейшем. Вероятно, Медьедович все же что-то делает с деньгами.
Почти все, с кем я общался, хотят, чтобы он перестал скрываться. Может, не столько для того, чтобы они вернули свои деньги, сколько для того, чтобы суд мог разобраться с заковыристыми правовыми вопросами этого дела. По словам Батгейта, адвоката Cicada 137, есть основания считать, что Медьедович покинул страну. Правоохранительные органы в Онтарио не слишком активно его ищут. Королевская канадская конная полиция и ФБР отказались комментировать дело. Прячась, он не решит юридические проблемы, они так просто не исчезнут.
«Могу заверить Андеана Медьедовича, что судебный процесс – не вино, которое с возрастом становится только лучше», – написал судья Фредерик Майерс, который ведет дело.
Медьедовича, похоже, не интересует сочувствие публики. И это мягко сказано. В своих письмах ко мне он чередовал прямолинейные ответы и явный троллинг. Когда я спросил, дает ли ему кто-нибудь советы, он ответил: «Я переписываюсь со своим наставником Питером Тилем, пока тянется вся эта канитель. … Это он меня надоумил!» (Представитель Тиля отказался от комментариев.) В других ответах были ссылки на «симуляцию предков», семьи с «бриллиантами, которые хранятся в космосе» и программу ООН «по проникновению в дома людей через каминные трубы, чтобы оставить под подушкой труды Фукидида». Вопрос о том, действительно ли он пишет все это всерьез, на фоне публикаций в интернете выглядит почти оригинальным.
На вопросы о будущем Медьедович реагирует довольно легкомысленно: «Я не переживаю о том, где найти работу. Пахать на чужого дядю мне не улыбается». Он не исключает возможности создать собственную продукцию. «Если мне в голову стукнет идея нужной и полезной технологии, разумеется, я ее создам. Пока что у меня не было никаких божественных откровений в этой области».
Тем временем команда Indexed движется дальше. Они запустили индексный токен в январе, но общая стоимость платформы с тех пор снизилась еще больше на фоне общего обвала по всей сфере DeFi, так что запланированный апгрейд пока дожидается своего часа. «Ни у кого из нас уже нет такого острого желания работать над проектом после всего, что произошло», – поясняет Келлар. Дэй добавляет: «Большинство людей признают, что Indexed уже не сможет развернуться в полную силу».
О плюсах: у Дэя появилась новая кошка Катнисс. Несмотря на весь урон и жесткие последствия, атака на платформу и разбирательства привлекли к ребятам внимание. Келлар и Дэй получают массу предложений по работе в DeFi. Дэй также собирается поступать в юридический колледж.
«Очень немногие могут закрыть этот разрыв между техническими и юридическими вопросами, – говорит он. – Я решил, что должен сам этим заняться».
Медьедович все еще скрывается. В феврале Келлар и Дэй летали на конвенцию ETHDenver, побывали на вечеринках и дискуссионных панелях, встретились с коллегами. Но большую часть времени они общались друг с другом. Это была их первая встреча в реале, и им нужно было многое обсудить. Дэй сделал совместное селфи на память. На фото он улыбается, а Келлар выглядит озадаченным. Селфи выставили в Twitter с подписью «Отряд технарей на выезде».