Ми публікуємо переклад статті Крістофера Біма для видання Bloomberg від бюро перекладів “Профпереклад”, де автор розповідає історію 18-річного вундеркінда-математика. Він скористався слабким місцем у коді Indexed Finance і розкрив юридичний парадокс, від якого досі трясе всю блокчейн-спільноту. А потім зник.
Лоуренс Дей – Фото: Joanne Coates for Bloomberg Businessweek
14 жовтня Лоуренс Дей сидів у себе вдома в Англії. Він готувався пообідати рибою та смаженою картоплею, коли задзижчав телефон. Надійшло повідомлення від колеги, який працював з Лоуренсом на Indexed Finance. Це криптовалютна платформа, яка створює токени, що представляють кошики інших токенів – як індексний фонд, лише в блокчейні. Колега надіслав скриншот нещодавньої торгової операції, а потім знак питання.
«Якщо не знаєш, куди дивитися, можна було подумати: о, непогана угода», – пояснює Дей.
Але він знав достатньо, щоб стривожитися. Якийсь користувач скуповував конкретні токени за радикально зниженою ціною, що за ідеєю було абсолютно неможливим. Щось пішло не так.
Дей підскочив з дивана, розкидавши їжу по підлозі, і кинувся до спальні дзвонити співзасновнику Indexed Діллону Келлару. Келлар тоді сидів у вітальні своєї матері, у шести часових поясах від Дея, і розбирав DVD-плеєр, виколупуючи з нього лазер. Він відповів на дзвінок і почув захеканого Дея з повідомленням, що платформа зазнала атаки. «Я тільки й сказав: “Шо?!”» – Згадує Келлар.
Вони витягли ноутбуки та закопалися в код платформи – їм допомагали кілька знайомих і кіт Дея, Фінні (названий на честь Гарольда Фінні, першопроходця в Bitcoin), який забрався на плече до господаря на знак підтримки.
Indexed будувалася на блокчейні Ethereum, публічному реєстрі, де зберігалися дані про транзакції. Це означало, що там є записи про атаку. Команда кілька тижнів намагалася точно визначити, що саме сталося. Схоже, платформу зламали і зробили так, щоб токени користувачів різко знецінилися, після чого були продані зломнику з величезною знижкою. Відповідальний за цю атаку придбав активи вартістю $16 млн.
Келлар і Дей зупинили відтік і виправили код так, щоб запобігти подальшим атакам, а потім уже взялися за роботу з громадськістю. На каналах платформи в Discord і Telegram власники токенів обмінювалися теоріями та взаємними докорами. У деяких випадках звинувачували команду платформи й вимагали компенсації. Келлар вибачився у Twitter і взяв на себе відповідальність за те, що прогледів «дірку» в коді. «Я облажався», – написав він.
Тепер потрібно було знайти того, хто ініціював атаку, і спробувати повернути гроші. Вважається, що найчастіше такі схеми у крипті застосовує внутрішній персонал («винний, доки не доведене протилежне»).
«За замовчуванням запитають, хто це зробив і чому розробники цим займаються?» – каже Дей.
Наступного ранку після атаки Дей раптом усвідомив, що не поговорив з одним конкретним партнером. Кодером під ніком UmbralUpsilon – анонімність у криптоспільноті звичайна справа. За багато тижнів до атаки він написав Дею та Келлару на Discord і запропонував створити бота, який підвищить ефективність платформи. Вони погодились і заплатили йому початковий внесок за роботу.
«Ми сподівалися, що він регулярно братиме участь у розвитку платформи», – каже Келлар.
Оскільки спілкувалися вони досить багато, Дей чекав, що UmbralUpsilon запропонує допомогу або хоча б поспівчуває після атаки. Натомість – повна тиша. Дей підняв логи чату і виявив, що в ньому залишилася лише половина повідомлень. UmbralUpsilon видалив свої повідомлення та змінив нік.
«Побачивши це, я вскочив з ліжка як ошпарений», – розповідає Дей.
Він поділився підозрами з командою, і наступні кілька днів усі нишпорили мережею в пошуках цифрового сліду зломника. Виявили, що гаманець Ethereum, який використовували для перекладу токенів під час атак, був підв’язаний до іншого гаманця, на який перерахували виграш після недавнього змагання хакерів. Гаманець належав учаснику, який іноді називав себе UmbralUpsilon. Підняли реєстраційні дані – виявилося, гаманець прив’язаний до профілю на GitHub.
У господаря профілю на GitHub електронна пошта починалася з amedjedo і була пов’язана з доменом адміністрації державної школи в Онтаріо. Дей з колегами також знайшли профіль редактора у Wikipedia зі схожим ніком. Редактор одного разу вносив зміни на сторінці популярної канадської інтелектуальної гри для учнів старших класів – дописав ім’я у стовпчику «Випускники»: «Андеан Медьєдович, видатний математик». Google довершив інше. Медьєдович донедавна навчався на магістратурі в Університеті Ватерлоо в Онтаріо за спеціальністю «математика». У його резюме сказано, що він цікавився криптовалютами.
Команда полегшено видихнула. Якщо кіберзломників вдається ідентифікувати, вони часто повертають викрадені кошти в обмін на винагороду для «збереження особи» та статус «доброго хакера». Дей уже зв’язався з UmbralUpsilon і запропонував 10% за безпечне повернення всіх токенів. Навіть стримано похвалив («відмінно розіграна комбінація»). Відповіді не одержав. Келлар вдався до іншої тактики – почав писати Медьєдовичу, називаючи його «Андеан». На цей раз Медьєдович відреагував і відкрито висміяв користувачів Indexed у Twitter:
«У вас був ауттрейд. Ви нічого з цим не вдієте… Так працює крипта».
Один з учасників команди написав йому особисто і запропонував $50 тис. за повернення токенів. Медьєдович у відповідь надіслав посилання на гаманець в Ethereum: «Надсилайте гроші». Зрозуміло, хлопці не потрапили на цю вудку. На додачу до всього з’ясувалося, що зломнику лише 18 років.
Нарешті, Келлар відправив Медьєдовичу останнє попередження і пригрозив, що вони будуть змушені звернутися до юристів і поліції.
«Пропоную тобі здатися зараз і не псувати собі життя», – написав він.
Підліток відповів смайликом, який покочується від сміху, і дописав: «Нехай щастить».
Келлар
Фото: Cindy Elizabeth for Bloomberg Businessweek
Коли Келлар і компанія створили Indexed, вони представляли платформу як наступний крок у DeFi (протоколах децентралізованих фінансів). Цей рух, заснований на блокчейні і пропонує більш автоматизовану систему кредитування, торгівлі активами й управління портфелями з мінімальною кількістю посередників. Деякі прихильники зайняли утилітарну позицію щодо DeFi. Вони вважають цю систему покращеною версією «традиційних фінансових операцій», де панують платні посередники, а рішення ухвалюють люди і дуже повільно. Інші зайняли позицію лібертаріанців і розглядають DeFi як втечу від нинішньої системи, спосіб обійти правила й обмеження, встановлені урядами чи корпораціями. А є скептики, для яких усе це – черговий розвід.
Келлар вважає себе дуже прогресивним і недвозначно підписується під утилітарним поглядом. Йому 23, і він уже встиг кинути навчання в Техаському університеті в Далласі, коли зрозумів, що на лекціях з комп’ютерних наук не дізнається нічого нового. Він заснував Indexed, щоб розв’язати проблему: ти хочеш торгувати криптою, але не хочеш щодня вовтузитися з портфелем.
У «традиційних» фінансах інвестори, яким потрібен широкий і збалансований набір цінних паперів, можуть купувати акції індексних фондів і передоручати щоденну роботу з купівлі-продажу акцій інвестиційному менеджеру. Келлар хотів зробити аналогічну схему у блокчейні, але з алгоритмом – драйвером торгів. Менеджер індексного фонду веде портфель, де містяться основні активи індексної акції. Алгоритм Indexed дозволяє вести пул основних токенів кожного індексного токена. Користувачі можуть відправити один з основних активів у пул в обмін на індексний токен – цей процес називається minting («карбування», мінтинг). Аналогічно можна спалити індексний токен, якщо відправити його назад у пул в обмін на один або всі основні активи. Або, як у біржовому фонді, користувачі можуть просто купувати чи продавати індексні токени на децентралізованих біржах (наприклад, Uniswap).
Індексні фонди мають безліч форм, і кожен має свою інвестиційну стратегію. Такі фонди, як S&P500, зважуються за ринковою капіталізацією. Якщо цінність одного з активів зростає, пропорційна цінність цього активу у складі портфеля також підніметься. Інші хочуть підтримувати фіксований баланс паперів. Наприклад, ви хочете, щоб акції Microsoft становили 20% вашого портфеля. Якщо вартість акцій зросла, менеджер продасть частину, щоб зберегти ці 20% за оцінкою.
Келлар з командою змоделювали Indexed, ґрунтуючись саме на такому типі фондів. Вони використовували автоматизований маркетмейкер (АММ), щоб підтримувати баланс основних активів, як це роблять багато платформ DeFi. На відміну від традиційного маркетмейкера, AMM не сам купуватиме і продаватиме активи. Він швидше допоможе встановити бажаний баланс активів у пулі, скоригувавши пулову ціну токенів, з яких він складається. Тоді у трейдерів буде мотивація купувати їх з пулу або продавати в пул. Коли в пулі потрібна більша кількість якогось конкретного токена, ціна на цей токен у пулі зросте. Коли потрібно зменшити обсяг токена в пулі, ціна падатиме. Така модель передбачала раціональну взаємодію користувачів із протоколом (купуєш за низькою ціною, продаєш за високою).
Усунувши менеджерів-людей, Indexed могла відмовитися від менеджерських комісій (наприклад, найбільший конкурент платформи, Index Coop, брав 0,95% лише за володіння найпопулярнішим індексним токеном). Indexed брала комісію за спалювання токенів і своп-активів у межах пулу, але лише з незначної кількості користувачів. Також можна було урізати витрати, обмеживши взаємодію між платформою та зовнішніми суб’єктами. Наприклад, коли Indexed потрібно було розрахувати загальну вартість активів у пулі, замість перевірки цін на токени на біржі типу Uniswap вона іноді екстраполювала цінність та вагу найбільшого токена в пулі (так званого еталонного, або бенчмарк-токена). Таким чином скорочуються витрати на транзакції в блокчейні Ethereum. Келлар розглядав повну пасивність як «природне продовження алгоритмів нинішньої роботи індексних фондів».
Проте пасивність також створювала ризик. Якщо з кодом є якісь проблеми, хтось може цим скористатися безпосередньо, якщо немає додаткового фактора захисту у вигляді посередників-людей. Обмеження взаємодій у блокчейні з метою зменшення витрат передбачало компроміс: коли в смартконтракті (це скрипт, який виконується автоматично за конкретних умов) закладено менше етапів, з’являється можливість створити дірку в системі безпеки. Список зламаних криптоплатформ уже досить довгий і росте з кожним тижнем (Poly Network, Wormhole, Cream Finance, Rari Capital тощо).
«У DeFi часто кажуть, що є два типи протоколів, – пояснює Дей. – Ті, що вже хакнули, і ті, що незабаром хакнуть».
Келлар знав про одну можливу лазівку для зломників. Це механізм Indexed, який використовували для введення токена в пул. Припустімо, відбувається переіндексація – наприклад, після того як один токен обігнав інший за ринковою ціною, щоб можна було внести його до фонду «блакитних фішок». При цьому в пулі встановлюється первинна ціна нового токену, для цього використовують складне рівняння. Один зі змінних у такому рівнянні – вартість еталонного токена. Якщо якимось чином втрутитися у процес ціноутворення такого токена в пулі, теоретично можна обдурити пул, щоб він призначив нижчу ціну й іншим своїм токенам.
«Я возився із цим майже два тижні», – каже Келлар. Однак він не знайшов жодних помилок. Не знайшли їх і два фахівці з безпеки, яким він заплатив за перевірку коду. «Я вирішив, що це не може бути вектором атаки», – зізнається він. Проте на сайті Indexed вивісили попередження: «Ми впевнені в безпеці наших контрактів… [але] не можемо гарантувати стовідсоткової відсутності помилок».
Платформа дебютувала у грудні 2020 року з двома індексними токенами: CC10, який представляв 10 топових Ethereum-токенів за рівнем ринкової капіталізації, та DEFI5, який представляв п’ять топових токенів DeFi. Незабаром у проєкту з’явилася нехай невелика, але віддана група підписників, у тому числі Дей. Він мав докторський ступінь з теоретичних комп’ютерних наук і диплом магістра з фінансового інжинірингу (оптимізація портфеля біржових індексних активів). Indexed відповідала його інтересам і задовольняла відносно невисоку схильність до ризику. «Коли йдеться про інвестування в будь-що, крім крипти, я в цьому відношенні досить нудна особистість», – каже Дей.
Дей і Келлар непогано порозумілися. Вони мали однакове абсурдистське почуття гумору. Експерт з фінансів з письменницькою жилкою та креативний кодер дуже органічно доповнювали один одного у професійному плані. «Я більше гуманітарій, а Діллон – більше технар», – пояснює 33-річний Дей. Він покинув роботу в нафтогазовій компанії і став штатним співробітником Indexed у квітні 2021 року.
Того року інтерес до крипти різко зріс, тож Indexed швидко злетів і незабаром став другим найбільшим Ethereum-протоколом після Index Coop. Хлопці нарощували амбіції, викочували нові індексні токени і планували апгрейд, який дозволить заробляти відсотки на активах у пулі.
Власники DeFi-платформи Balancer, код якої взяли як зразок для Indexed, були так вражені, що дали Indexed грант. Це фактично забезпечило впевненість у його майбутньому.
Коли запрацював Indexed, Медьєдович, якого всі звуть просто Енді, тільки-но почав працювати над своїм магістерським дипломом. За рік мав закінчити. Зазвичай він усе робив швидко. Вивчав математику за десятий клас ще в початковій школі, випустився в 14, бакалаврський курс у Ватерлоо закінчив за три роки. (Ватерлоо вважається однією з найкращих канадських шкіл з математичною та комп’ютерною спеціалізацією, тут же навчався співзасновник Ethereum Віталік Бутерін.) До осені 2021 року Медьєдович захистив магістерський диплом з теорії випадкових матриць і планував подаватися на докторські програми.
«Не можу пригадати жодного студента в мій час, якому вдалося б здобути ступінь у такому молодому віці», – стверджує Девід Джао, професор математики у Ватерлоо.
Попри академічні успіхи, у соціальному плані Медьєдовичу бракувало зрілості. Колишній однокласник, який побажав залишитися анонімним, згадує, що хлопець був «самовпевнений, навіть зарозумілий» і зверхньо дивився на всіх, хто не дотягував до нього в інтелектуальному плані. «Він вважав істиною в останній інстанції все, що робив чи говорив», – додає однокласник. Медьєдович явно загравав з екстремістськими ідеями. Люди чули, як він висловлювався за перевагу білої раси та євгеніку. (Сам Медьєдович ніяк не відреагував на прохання дати коментар для статті.)
Проте Медьєдовичу вдавалося заводити друзів – за грою в шахи та з допомогою відеогри League of Legends. Йому подобалося читати художню літературу, особливо в жанрі наукової фантастики. У його профілі в соцмережі була цитата з «Колиски для кішки» Курта Воннегута про марність прагнення людства до знань:
«Тигр повинен полювати, а птах – літати. Людина повинна сидіти і дивуватися: “Чому, чому, чому?” Тигр має спати, птах – приземлятися. Людина повинна говорити собі, що вона все розуміє».
Медьєдович також розвивав навички написання коду, регулярно брав участь в онлайн-змаганні для хакерів Code4rena, або C4. Це конкурс для розробників із грошовим призом від компаній, які шукають слабкі місця у своїх системах безпеки. Він виграв призи у двох змаганнях C4. «Він здавався досить доброзичливим і класним, – згадує Адам Авнер, який допомагав проводити C4 та спілкувався з Медьєдовичем до та після атаки на Indexed. – Молодий, щирий хлопчина».
Медьєдович зацікавився DeFi, особливо механікою АММ. «Коли я чув про вихід нового продукту в DeFi, відразу брався вивчати, як він працює, і вкладав гроші, якщо мені спадала на думку хороша ідея», – писав він в електронному листі. (Медьєдович відмовився дати інтерв’ю телефоном, але погодився відповісти на запитання електронною поштою.) За його оцінками, він провів сотні годин, «бавлячись з математикою в основі АММ, експериментував із прибутковістю різних стратегій». Потім він почав створювати ботів, які займалися арбітражним трейдингом на цих платформах. Так він поступово заробляв і допомагав пулам працювати ефективніше.
Прочитавши про Indexed на форумі, він розглянув смартконтракт і помітив у коді «можливість для спотворення цін» (той самий інструмент, який, як побоювався Келлар, може дозволити користувачам спотворити внутрішні цінові розрахунки пулу при введенні нових токенів). Він також помітив, що можна обійти обмежувач розміру деяких торгових операцій у межах пулу. «Спочатку я не повірив своїм очам», – говорить він. Медьєдович кілька разів робив теоретичні розрахунки, «і на папері вони працювали». Наступного місяця він провів за написанням скрипту для зламу платформи.
Він зв’язувався з командою Indexed через Discord під ніком UmbralUpsilon, ставив базові запитання щодо структури активів і ціни, пропонував написати арбітражний бот для платформи. «Підозрюю, він промацував ґрунт, шукав, чи не відкрию я йому якусь лазівку, у яку він міг би просочитися», – каже Дей, згадуючи це листування. Келлар і Дей стверджують, що інформація, якою вони ділилися з ним, не могла сприяти атаці.
Нарешті, у середині жовтня Медьєдович був готовий до розгорнення коду. Що важливо, два найбільші пули в Indexed якраз «дозріли» для переіндексації. Був потрібен лише один користувач, який введе мінімальну кількість нового токена – в обох випадках це був Sushi, токен, що відповідає DeFi-біржі SushiSwap.
Для зламу «слабкого місця» були потрібні сотні команд – їх пояснення в суді розтягнулися на десятки сторінок. Але сам процес складався лише з кількох ключових етапів. Для атаки на пул токенів DEFI5 (а пізніше й на пул CC10) Медьєдович написав програму, яка брала флеш-кредит на $157 млн. Флеш-кредит, або миттєва позика, – це механізм у криптотрейдингу, який дає користувачам доступ до коштів доти, доки їх повертають у тому ж наборі попередньо запрограмованих транзакцій.
Після цього скрипт використав значну частину позикових коштів для скуповування майже всіх UNI-токенів у пулі (токенів, що відповідають DeFi-біржі Uniswap). Раптова нестача UNI призвела до різкого стрибка їхньої вартості в пулі – алгоритм намагався зупинити виведення UNI з пулу та змусити трейдерів повернути їх назад для відновлення балансу. Чим більше UNI-токенів купував Медьєдович, тим дорожчими вони ставали. У підсумку вартість перевищила вартість на зовнішньому ринку у 860 разів. Усього він витратив токенів на $109 млн, щоб скуповувати UNI загальною вартістю лише $5,2 млн.
З боку такий трейдинг здавався безумством, проте UNI відігравав унікальну роль у пулі DEFI5. Він був цим еталонним токеном – саме з нього пул екстраполював свою загальну вартість. При різкому зниженні обсягу UNI в пулі загальна вартість, за оцінкою самого пулу, була у 380 разів нижчою, ніж насправді. У результаті стрімко впала кількість нового введеного токена Sushi, яка була б потрібною для мінтингу токенів DEFI5. Медьєдович тепер міг обміняти Sushi-токени вартістю $3,2 тис. на токени DEFI5 вартістю $1,172 млн, якби захотів. І якби він це зробив, з Indexed все було б гаразд. Протокол встановлює ліміт на кількість нових токенів, які користувачі можуть переслати в пул. Тому він зміг би витягти від сили 1,5% вартості пулу. З урахуванням комісії це було б йому взагалі невигідно.
Натомість скрипт Медьєдовича взяв ще один флеш-кредит із Sushi-токенів на $2,4 млн. Але не продав у пул, а просто подарував – здавалося б, ірраціональний крок, до якого алгоритм Indexed взагалі був не готовий і не пристосований. Такий подарунок перевантажив пул і обійшов звичайний торговий ліміт на нові токени. Це дозволило Медьєдовичу вільно торгувати Sushi за завищеною ціною, обмінюючи їх на токени DEFI5 зі заниженою ціною, а потім перевести їх у готівку за основні активи пулу, виплатити позики і зберегти залишок у розмірі $11,9 млн. Атака на пул CC10 довела загальну вартість «здобичі» до $16 млн.
У своїх листах Медьєдович згадував, що був здивований успіхом свого експлоїту. «У мене була всього пара пробних запусків, щоб налагодити його», – писав він. Якби витівка не вдалася, у нього закінчилися б гроші на комісію за операції в блокчейні.
«Це справді було приголомшливо, – каже Келлар. – Але такому таланту можна було знайти краще застосування».
Якщо Медьєдович і думав повернути токени, то недовго. Коли команда Indexed встановила його особистість, він запостив у Twitter зухвале повідомлення:
A single frog hops in the pool, does something cool;
To boil him, they try. ‘Don’t arb that,’ and they start to cry.
Але цвіт не є розгубленим, для того, щоб вийти на його сторону.
(Одна жаба стрибає в басейн, робить щось класне.
Її намагаються зварити. Арбітраж не працює, і вони плачуть.
Але жаба не сумує, бо бог на її боці.)
У коментарях народ захоплювався його винахідливістю. Хтось запостив емодзі з короною. Ще хтось написав: «Люблю цього хлопця».
Деякі засуджували його за расизм і тропи: адреса в Ethereum, використана для атаки, містила цифру 1488, що означає неонацистський слоган. У сам код він вписав слово на букву Н («наци» або «нацизм». – Прим. перекл.) 16 разів. Один з користувачів Twitter назвав його Діланом Руфом для Balancer-пулів (відсилання до масового вбивці, який розстріляв дев’ятьох афроамериканців у церкві в Чарльстоні у 2015 році). Медьєдович лайкнув цей твіт.
Наступні тижні були справжнім пеклом для Келлара та Дея. Вони перебудовували протокол, готували удар у відповідь і розробляли план компенсації для власників токенів. Ніби цього було мало, Фінні, кота Дея, до смерті збила машина.
9 грудня, майже за два місяці, Келлар і Дей подали до суду на Медьєдовича в Онтаріо. Згідно з їхньою заявою, його дії були шахрайством і його слід змусити повернути токени первісним власникам. Виявилось, що вони не перші в черзі. Анонімна компанія зі штату Делавер під назвою Cicada 137 LLC вже судилася з Медьєдовичем, але справу заморозили. Келлар з Деєм дізналися про неї лише після того, як подали свій позов. Згідно з позовною заявою, Cicada 137 при зломі втратила найбільше токенів, приблизно на $9 млн. (Бенджамін Батгейт, адвокат Cicada 137, відмовився розкрити особи своїх клієнтів.)
До того моменту, як Келлар і Дей опинилися в суді, Cicada 137 уже добилася ордера, який заморозив зазначені токени. Суд не міг фактично контролювати гаманці Медьєдовича, але якби той спробував їх чіпати, то порушив би закон. Cicada також досягла ордера на обшук у будинку батьків Медьєдовича, де він жив. Обшук провели 6 грудня, але Медьєдович встиг звідти з’їхати, прихопивши все комп’ютерне обладнання. Батьки та молодший брат уявлення не мали, де він.
Адвокати Келлара та Дея заявили, що два конкретні етапи атаки порушували закони про заборону ринкових маніпуляцій і комп’ютерне хакерство. На одному етапі майже всі UNI-токени виводилися з пулу DEFI5 через своп. У будь-яких інших умовах це ірраціональна операція. Вона спотворює ціноутворення настільки, що Медьєдович зміг викупити токени у користувачів Indexed, яких алгоритм змусив їх продати.
«Єдиною метою такої операції було ввести в оману власників і змусити їх розлучитися з токенами на умовах, на які вони б ніколи не пішли, – пояснює Стівен Ейлвард, адвокат Келлара та Дея. – Ми стверджуємо, що це вид ринкової маніпуляції».
Той самий аргумент застосовний і до операції Медьєдовича з пулом CC10.
Друга незаконна транзакція, за їхніми твердженнями, коли Медьєдович перевантажив пул вільними Sushi-токенами й обдурив алгоритм, що дозволило йому обійти ліміт на обсяг деяких операцій. Ейлвард називає це «навмисним актом з боку Андеана, спрямованим на деактивацію заходу захисту, за аналогією з відключенням охоронної системи в банку». Він заявляє, що за законами Канади подібні дії потрапляють під надзвичайно широке правове визначення хакерства. Його можна інтерпретувати як «підрив цільового призначення комп’ютерної системи».
Медьєдович офіційно не відреагував на жодний позов. Мені він сказав, що навіть не має адвоката в Онтаріо. Однак у нашому листуванні він стверджував, що провів абсолютно легальну серію торгових угод. Жодна його дія «не стосувалася отримання доступу до системи, до якої мені заборонили доступ. Я не крав нічиїх особистих ключів. Я взаємодіяв зі смартконтрактом згідно з його ж публічно прописаними правилами. Люди, які втратили токени в цій угоді, – інші користувачі, які хотіли застосувати смартконтракт для власної вигоди. Вони прийняли умови ризикованих угод, у яких, мабуть, не розібралися до кінця». Медьєдович додав, що сам пішов на «серйозний ризик», коли застосував таку стратегію. Якби вона не вдалася, він би втратив «більшу частину свого портфеля». (3 ETH, які він втратив на комісії, тоді коштували приблизно $11 тис.)
Ця справа порушує кілька дуже серйозних і складних питань про те, як саме можна дозволяти людям взаємодіяти з кодом у блокчейні. Наприклад, позивачі стверджують, що Медьєдович навмисне «ввів усіх в оману» шляхом маніпуляції з вартістю токенів у пулах. Але хто саме це зробив – Медьєдович чи алгоритм? Баррі Сукмен, юрист із Торонто, який спеціалізується на інформаційних технологіях, каже, що ця різниця визначень ні на що не впливає: «Люди відповідають за роботу технологій, якими керують».
Якщо ж Медьєдович справді замішаний у шахрайстві, то кого обдурили? Ендрю Лін – юрист із Далласа, який консультує Медьєдовича, але формально не бере участі в канадських судах. Він використовує цей аргумент, щоб відкинути заяву про «навмисне введення в оману».
«Неясно, кого саме він ввів в оману, – пояснює Лін. – Він написав код. Код сам собою не є ні правдою, ні брехнею».
Неможливо передбачити рішення суду, не знаючи всіх фактів, які можуть виникнути під час слухань. Так вважає Андреа Матвішин, професорка права та інжинірингу в Університеті штату Пенсільванія, яка вивчає кібербезпеку. Проте справу навряд чи можна назвати чіткою та зрозумілою, особливо з урахуванням аргументу Медьєдовича про прийняття ризику.
«Люди на Волл-стріт часто швидко заробляють багато грошей, коли бачать дірку та проводять стратегічне дослідження, – каже Матвішин. – Цілком можу уявити світ, у якому суддя зважує різні фактори, попередньо вивчивши технічну та фінансову специфіку такого сценарію. А потім приходить до висновку, що були змінні, завдяки яким ця операція перетворюється на спекулятивний трейдинговий сценарій».
DeFi працює в правовій і регуляторній «сірій зоні», яка теж не приносить ясності. Будь-яка людина, яка має технічні знання, може створити інвестиційний механізм, вивести його в онлайн і піддати користувачів ризику експлоїту. Голова Комісії США з цінних паперів і бірж Гері Генслер сказав, що планує правити на платформах, які займаються трейдингом криптовалют. Ден Берковіц, колишній спеціальний уповноважений Комісії з торгівлі товарними ф’ючерсами США, а зараз генеральний радник SEC, назвав сферу DeFi «ринком за Гоббсом» із продукцією, яка порушує закони про торгівлю сировинними товарами. У березні Білий дім видав урядове розпорядження про прийняття регламентів, які також «знизять можливі ризики цифрових активів для споживачів, інвесторів і бізнесу».
Запропоновані регламенти, можливо, і не запобігли б атаці на Indexed, але знизили б ризики та допомогли інформувати трейдерів про потенційні загрози. Так вважає Райан Клементс, професор права в Університеті Калгарі. Можливо, до запуску слід встановити обов’язкову перевірку коду акредитованими компаніями, а також реєстрацію під реальними іменами. Проте, за словами Клементса, це буде дуже важко реалізувати. Уряди не можуть заблокувати децентралізовані платформи так, як це можна зробити з вебсайт, оскільки вони працюють на глобальних блокчейнах. А навіть якби й могли, відразу виникнуть платформи-імітатори.
Пуристи DeFi воліли б, щоб уряди трималися від їхніх платформ якнайдалі. Кріс Блек, завідувач сайту DeFi Watch, написав у Twitter, що атака на Indexed була «ганьбою для DeFi», і розкритикував команду платформи за звернення до централізованої установи (тобто до суду) по допомогу. Келлар стверджує, що альтернативи не бачить – у сфері DeFi немає власної судової системи. У будь-якому випадку він вважає, що DeFi має працювати в чинному правовому полі.
«У плані регулювання та управління проєктами ця сфера має залишатися децентралізованою, – каже він. – Але для впровадження та виконання основних правил потрібний центральний орган».
Через тиждень після подання позову Келларом і Деєм Медьєдович з’явився на віртуальне слухання в Zoom. Камера була вимкнена, і він майже нічого не говорив. Суддя наказав йому або перевести активи нейтральній третій особі або за тиждень з’явитися до суду особисто. Коли підійшов зазначений термін, Медьєдович так і не перевів токени, та й до суду не прийшов. Суддя видав ордер на його арешт.
Справа зависла, поки Медьєдовича не знайдуть або поки він сам не вирішить вилізти з нори. В аналогічній справі, не пов’язаній із криптою, суд міг би просто наказати банку заморозити рахунки або здати активи, щойно позивач отримає заочне рішення. Але через характер криптогаманців, для доступу до яких потрібен особистий ключ, судові органи не можуть конфіскувати ці токени без Медьєдовича. Я запитав його, чи він витратив щось із заробленого. Він відповів: «Я не витрачаю гроші». Проте хтось нещодавно вивів з гаманця, який використали для атаки на Indexed, майже $400 тис. Токени пішли в криптовалютний тумблер, який не дає відстежувати їх надалі. Мабуть, Медьєдович все ж таки щось робить із грошима.
Майже всі, з ким я спілкувався, хочуть, щоб він перестав ховатися. Може, не стільки для того, щоб вони повернули свої гроші, скільки для того, щоб суд міг розібратися з хитромудрими правовими питаннями цієї справи. За словами Батгейта, адвоката Cicada 137, є підстави вважати, що Медьєдович покинув країну. Правоохоронні органи в Онтаріо не надто активно шукають його. Королівська канадська кінна поліція та ФБР відмовилися коментувати справу. Ховаючись, він не вирішить юридичних проблем, вони так просто не зникнуть.
«Можу запевнити Андеана Медьєдовича, що судовий процес – не вино, яке з віком стає тільки кращим», – написав суддя Фредерік Майєрс, який веде справу.
Медьєдовича, схоже, не цікавить співчуття публіки. І це м’яко сказано. У своїх листах до мене він чергував прямолінійні відповіді та явний тролінг. Коли я запитав, чи дає йому хтось поради, він відповів: «Я листуюся зі своїм наставником Пітером Тілем, поки триває вся ця тяганина. … Це він мене напоумив!» (Представник Тіля відмовився від коментарів.) В інших відповідях були посилання на «симуляцію предків», сім’ї з «діамантами, які зберігаються в космосі» та програму ООН «з проникнення до будинків людей через камінні труби, щоб залишити під подушкою праці Фукідіда». Запитання, чи справді він пише все це серйозно, на тлі публікацій в інтернеті виглядає майже оригінальним.
На запитання про майбутнє Медьєдович реагує досить легковажно: «Я не переймаюся тим, де знайти роботу. Гарувати на чужого дядька мені не посміхається». Він не відкидає можливості створити власну продукцію.
«Якщо мені на думку спаде ідея потрібної та корисної технології, зрозуміло, я її створю. Поки що я не мав жодних божественних одкровень у цій галузі».
Тим часом команда Indexed рухається далі. Вони запустили індексний токен у січні, але загальна вартість платформи відтоді знизилася ще більше на тлі загального обвалу по всій сфері DeFi, тому запланований апгрейд поки чекає свого часу.
«Ні в кого з нас уже немає такого гострого бажання працювати над проєктом після всього, що сталося», – пояснює Келлар. Дей додає: «Більшість людей визнають, що Indexed вже не зможе розвернутися на повну силу».
Про плюси: у Дея з’явилася нова кішка Катніс. Попри всю шкоду та жорсткі наслідки, атака на платформу та розгляди в суді привернули до хлопців увагу. Келлар і Дей отримують масу пропозицій щодо роботи в DeFi. Дей також збирається вступати до юридичного коледжу. «Дуже мало хто може закрити цей розрив між технічними та юридичними питаннями, – каже він. – Я вирішив, що маю сам цим зайнятися».
Медьєдович усе ще ховається. У лютому Келлар і Дей літали на конвенцію ETHDenver, побували на вечірках і дискусійних панелях, зустрілися з колегами. Але більшу частину часу вони спілкувалися один з одним. Це була їхня перша зустріч у реалі, і їм потрібно було багато обговорити. Дей зробив спільне селфі на згадку. На фото він усміхається, а Келлар виглядає спантеличеним. Селфі виставили у Twitter з підписом «Загін технарів на виїзді».