19세의 오일러 해커, 2억 달러 앞에서 3주간 망설이다

원문 제목：《HE STOLE $200 MILLION. HE GAVE IT BACK. NOW, HE'S READY TO EXPLAIN WHY》
원문 출처：Coinage
원문 저자：Zack Abrams
원문 편집：Zack Guzman

2023년 3월 13일, 단 18분 만에 한 해커가 인기 대출 플랫폼인 Euler Finance에서 거의 2억 달러에 달하는 암호화폐를 훔쳤습니다. 이는 올해 가장 큰 도난 사건입니다. 불과 3주 후, 그는 거래를 취소하고 훔친 모든 것을 돌려주었습니다.

해커 사건 발생 이후, 해당 작전의 책임자가 처음으로 나와 사건에 대한 자신의 견해를 설명하며, 그는 이 돈을 절대 보유할 생각이 없었다고 주장했습니다.

Coinage는 자칭 해커인 젊은 아르헨티나인 페데리코 하이메(Federico Jaime)와 대화했으며, 그의 주장은 다른 중요한 증거에 의해 뒷받침되었습니다. 이것이 그의 이야기입니다.

사진 출처：Instagram @federicojaimeok

로마의 서늘한 3월 밤, 새벽 3시경, 페데리코는 바깥에서 친구를 기다리며 신과 대화하고 있었습니다. 19세의 아르헨티나인은 지난 한 달 동안 뭔가를 찾고 있었지만, 아직 찾지 못했습니다. 그는 그 이유가 궁금했습니다.

"세상에, 내 모든 프로젝트가 한 달 안에 완료된다면, 왜 이번에는 안 되는 거지?" 그는 하늘을 바라보며 생각했습니다. "왜 예전에는 내 말을 들었는데, 지금은 듣지 못하는 걸까?" 그는 숙소로 돌아가려면 몇 시간이 더 걸렸습니다.

그가 마침내 집에 돌아왔을 때, 그는 잠을 잘 수 없었습니다. 그래서 그는 일을 하기로 결정했습니다.

페데리코의 기도는 거의 즉시 응답을 받았습니다. 아마도 예언적이었습니다. 그는 그가 찾고 있던 것을 발견했습니다: 암호화폐 대출 프로그램 코드의 취약점. 그는 즉시 그의 발견을 이용하기 시작했습니다.

"내가 일할 때, 나는 예술가나 작가처럼 일해요," 페데리코는 나중에 전화로 그의 제2언어인 영어로 저에게 말했습니다. "뮤즈를 깨우기 위해서는 잠이 부족한 것이 좋습니다."

다음 이틀 동안 페데리코는 잠을 잘 수 없었습니다. 그가 이탈리아 병원의 침대에서 깨어났을 때, 그의 재산은 2억 달러가 증가했지만, 그는 자신의 등에 저주가 새겨진 것 같은 기분이었습니다.

사진 출처：Instagram @federicojaimeok

암호화폐 세계는 투명성에 의존합니다. 모든 거래—친구에게 송금하기, NFT 구매하기, 대출하기—는 공개적이며 거래는 되돌릴 수 없습니다. 블록체인에서 실행되는 애플리케이션(스마트 계약이라고 함)도 마찬가지로 공개적입니다; 누구나 코드를 직접 확인할 수 있습니다.

지난 몇 년 동안 사람들의 암호화폐에 대한 관심이 급증함에 따라, 전체 탈중앙화 금융 애플리케이션 산업도 함께 성장하여 암호화폐 투자자들이 토큰을 교환하고, 대출을 받고, 가격 변동에 레버리지 베팅을 하며 이자를 벌 수 있게 되었습니다. 현재 약 450억 달러의 암호화폐가 DeFi 프로토콜에 약속되어 있으며, 2021년 가을에는 이 수치가 1750억 달러를 초과하여 모건 스탠리가 보유한 모든 예금 금액에 해당합니다.

DeFi는 암호화폐 애호가들에게 흥미로운 금융 혁신을 제공하며, 암호화폐 분야의 빠른 발전과 느슨한 규제에 적응하고 있습니다. 만약 당신이 담보 없이 2억 달러를 빌리고 싶거나 DOGE와 PEPE 같은 "밈" 암호화폐에 투기하고 싶다면, DeFi가 유일한 선택입니다.

한편, 해커들은 DeFi를 다양한 디지털 은행 금고로 여기며, 각 금고는 공개적인 청사진(코드 오픈 소스)을 가지고 있어 사실상 누군가에게 강탈을 시도하라고 초대하는 것입니다. 암호화폐 연구 회사 Chainanalysis의 데이터에 따르면, DeFi 프로토콜은 암호화폐 해커의 주요 목표가 되었으며, 그들은 2021년에 DeFi에서 22억 달러를 훔쳤고, 2022년에는 31억 달러를 훔쳐 당해 도난당한 암호화폐 총액의 80% 이상을 차지했습니다.

지금까지 가장 성공적인 암호화폐 해커는 라자루스 그룹(Lazarus Group)으로, 2022년 라자루스가 훔친 17억 달러 중 11억 달러가 DeFi 취약점에서 나왔습니다.

끝없는 공격에 직면하여, DeFi 프로토콜의 대응책은 보안 회사를 고용하여 스마트 계약을 감사하고, 위협을 모니터링하며, 심지어 화이트 해커(즉, 취약점을 표시하여 보상을 받는 해커)에게 유인하여 자신이 훔친 취약점을 찾도록 하는 것입니다. 심지어 철저한 감사와 모든 예방 조치를 취한 DeFi 프로토콜조차도 강력한 해커 공격의 피해자가 될 수 있으며, 이 공격자는 때때로 단지 19세의 아이일 뿐이며, 신이 그 편에 서 있습니다.

사진 출처：Instagram @federicojaimeok

모든 것은 한 줄의 코드로 막을 수 있었습니다.

호텔로 돌아와 로마의 하늘에 태양이 떠오를 때, 페데리코는 런던의 스타트업 Euler Labs가 개발한 DeFi 대출 프로토콜인 Euler Finance를 연구하기 시작했습니다. Euler는 사용자가 예치한 담보 가치의 최대 10배까지 대출을 받을 수 있도록 합니다; 10,000달러를 투자하면 100,000달러처럼 거래할 수 있습니다. 그러나 암호화폐는 변동성이 크며, 가격이 잘못 움직이면 사용자의 예치금이 담보를 회수하는 데 충분하지 않을 수 있습니다. 그래서 사용자가 Euler와 상호작용할 때마다 플랫폼은 그의 계좌 상태를 확인하고, 상태 점수가 너무 낮으면 자동 청산이 발생합니다.

하지만 페데리코는 존재하지 않는 것을 보았습니다: 단일 Euler 스마트 계약 내의 단일 함수가 건강 검사를 누락했습니다. 단 몇 시간의 연구 끝에, 페데리코는 Euler 팀과 몇몇 독립 스마트 계약 감사자가 간과한 부분을 발견했습니다.

"그것은 단지 신성한 영감일 뿐입니다. 그것은 단지 내 뮤즈를 깨운 것입니다." 페데리코가 말했습니다. "정확히 말하자면, 내가 찾고 있던 것을 한 달 동안 찾은 후…… 나는 그것을 찾았습니다."

페데리코는 그의 공격을 계획하기 시작했습니다. 3월 13일, 이틀 간의 불면의 프로그래밍 끝에 그는 거의 실행할 준비가 되었습니다. 유일한 문제는: 그는 스마트 계약을 배포하는 방법을 모르고, 그것이 얼마나 비용이 드는지도 몰랐습니다.

"나는 구글에서 '스마트 계약 배포 비용은 얼마인가?'를 검색했습니다. 나는…… '5,000달러에서 50,000달러까지'라는 기사를 발견했습니다." 페데리코는 그가 느낀 믿기지 않는 감정에 목소리를 높이며 말했습니다. "WTF"

하지만 페데리코는 계속 나아갔고, 결국 실제 계약 배포 비용이 훨씬 낮다는 것을 알게 되었습니다. 이때, 그는 마지막으로 잠을 잔 지 며칠이 지났고, 페데리코는 돈에 대해 전혀 고려하지 않았다고 말했습니다. "나는 이것이 실험이라고 생각했습니다. 단지 실험일 뿐입니다," 그는 설명했습니다. "이것이 효과가 있을지 확신이 없었습니다…… 내가 스마트 계약을 배포할 수 있을지 확신이 없었습니다. 내 의구심이 확신보다 많았습니다."

"그래서 나는 이 취약점과 나 자신을 정말로 과소평가했습니다. 왜냐하면 결국 그것이 효과가 있었기 때문입니다." 그는 덧붙였습니다.

2023년 3월 13일 오전 9시 54분, 이탈리아 시간으로, 페데리코는 컴퓨터 앞에 앉아 있었습니다. 18분 동안, 그가 Euler Finance를 공격하기 위해 사용한 세 개의 지갑은 해당 프로토콜에서 1억 9700만 달러의 암호화폐를 훔쳤습니다. 이 자금은 결국 하나의 지갑에 모두 입금되었습니다—가득 찬 가짜 여행 가방에 쌓인 수많은 백 달러 지폐가 담겨 있었습니다.

"처음에는, 나는 이것이 너무 흥미롭다고 생각했습니다. 나는 거대한 프로토콜을 해킹했고, 그 다음에 나는, 와우, 2억 달러. 이것은 내 등에 새겨진 저주입니다."

페데리코는 여전히 잠을 잘 수 없었고, 그는 호텔 컨시어지에게 구급차를 불러달라고 요청했습니다.

사진 출처：Instagram @federicojaimeok

첫 번째로 이상을 감지한 것은 로봇이었습니다. 일부 암호화 보안 회사는 DeFi 프로젝트에 대한 실시간 위협 모니터링 및 경고를 제공합니다. Euler 해킹 사건에서 최소 두 개의 보안 회사인 Forta와 Hypernative는 공격이 시작되기 전에 경고를 받았습니다.

불행히도, 이 기사를 논평하기를 거부한 Euler Labs에게는 자동 경고가 공격 시작 몇 분 전에만 발송되었고, 런던에 본사를 둔 이 스타트업에게는 프로토콜의 안전을 보호하기에는 너무 이른 시점이었습니다. ("우리는 공격이 발생하는 시간을 일반적으로 1분에서 1시간 사이로 예측합니다." Forta의 마케팅 매니저 알렉스 베렌스가 말했습니다.)

영국 시간으로 3월 11일 월요일 오전 8시 59분, 블록체인 보안 회사 PeckShield는 소셜 미디어에 "안녕하세요 @eulerfinance: 당신은 확인해보는 것이 좋을 것 같습니다"라는 글을 올리고, 지갑이 Euler의 DAI 스테이블코인 공급을 공격하여 870만 달러 이상의 자금을 훔쳤다는 페이지에 링크를 걸었습니다.

그 후, 모두가 Euler가 계속해서 공격받는 모습을 지켜보았습니다. 해커는 1850만 달러의 WBTC를 훔친 후, 1억 1600만 달러의 stETH를 훔쳤습니다… 결국 해커는 1억 9700만 달러를 챙겼고, Euler의 모든 6개 토큰 준비금은 사라졌습니다.

오전 9시 56분, Euler는 소셜 미디어에서 PeckShield의 메시지를 인용하며 "우리는 알고 있습니다. 우리 팀은 현재 보안 전문가 및 법 집행 기관과 협력하고 있습니다. 추가 정보가 확보되는 대로 즉시 발표하겠습니다."라고 밝혔습니다.

암호화폐이기 때문에, 모든 사람은 해커 지갑의 자금을 볼 수 있습니다. 해당 지갑의 거래를 확인함으로써, 보안 전문가들은 공격을 역추적할 수 있었고, 결국 도난의 원인이 된 단일 취약점을 발견했습니다. 그러나 암호화폐이기 때문에, Euler 팀은 해당 지갑을 현실 세계의 신원과 연결할 수 없었고, 해커의 의도를 이해할 수 없었습니다.

3월 13일, 해커의 마지막 행동은 Tornado Cash를 통해 100 ETH(당시 가치 168,000달러)를 전송하는 것이었습니다. Tornado Cash는 이더리움에서 자금을 추적하기 더 어렵게 만드는 "믹싱" 거래 프로토콜입니다. 그 후, 해당 지갑 주소는 침묵하게 되었습니다.

그날 밤 10시 47분, Euler 팀은 해커 지갑에 메시지를 보내 "우리는 당신이 오늘 아침 Euler 플랫폼에 대한 공격에 책임이 있다는 것을 알고 있습니다. 우리는 당신이 가능한 후속 조치에 대해 논의할 의향이 있는지 알고 싶습니다."라고 전했습니다. 이 시도는 Euler 팀이 힘든 3주를 시작할 준비를 하고 있다는 신호였습니다.

다음 날 밤 9시 22분, Euler 팀은 해커의 지갑에 또 다른 메시지를 보내 24시간 이내에 90%의 도난 자금을 반환할 것을 제안했습니다—해커가 사실상 2000만 달러의 취약점 보상을 유지할 수 있도록 하였습니다. 그렇지 않으면, Euler는 해커의 체포로 이어지는 정보를 제공하는 사람에게 100만 달러의 보상을 제공할 것이라고 경고했습니다.

해커는 응답하지 않았습니다.

3월 15일 오전 11시 20분, Euler 팀은 해커 지갑에 또 다른 메시지를 보내 이전의 취약점 보상 제안을 재확인했습니다. Euler 팀은 "그럼 조사는 중단될 수 있고, 초점은 법적 절차 없이 프로토콜 사용자에게 자금을 분배하는 것으로 전환될 수 있습니다."라고 적었습니다.

그날 밤 10시 06분, 해커가 계속 침묵하자, Euler 팀은 해커의 체포와 자금 회수로 이어지는 정보를 제공하는 사람에게 100만 달러의 보상을 제공한다고 발표했습니다. 다음 날, Euler의 공동 창립자이자 CEO인 마이클 벤틀리 박사는 이번 공격에 대한 그의 반응을 공유하며, 지난 며칠이 그의 인생에서 가장 힘든 날들이었다고 표현하고, 영향을 받은 사용자들에 대한 슬픔을 나타냈습니다.

"나는 갓 태어난 아들과 함께하는 시간을 희생해야 했습니다," 벤틀리는 트위터에 썼습니다. "나는 공격자를 결코 용서하지 않을 것이지만, 그들은 잘못을 바로잡고 가능한 한 빨리 자금을 EulerDAO 재무부에 반환할 수 있습니다."

사진 출처：Instagram @federicojaimeok

페데리코 하이메는 그가 이 돈을 보유할 생각이 없었다고 주장했습니다. "나는 처음부터 2억 달러가 작은 숫자가 아니라는 것을 알고 있었고, 이는 DeFi 커뮤니티에 큰 피해를 줄 것이며, 그것은 전혀 내 목표가 아니었습니다."

우리는 모두 궁금해합니다. 단 한 순간이라도 페데리코가 2억 달러로 무엇을 살 수 있을지, 자신이 호화로운 저택에 살고 있는 모습을 상상했는지요? 요트에서?

"전혀 없었습니다. 전혀 없었습니다. 왜냐하면 저는 기업가이기 때문입니다. 저는 합법적으로, 완벽하게 돈을 벌 수 있으며, 도둑질할 필요가 없고, 남의 돈을 가질 이유가 없습니다."

대부분의 사람들에게 이러한 발언은 고작 눈살을 찌푸리게 할 뿐입니다. 결국 암호화폐 커뮤니티는 겸손으로 유명하지 않으니까요. 하지만 저는 페데리코가 유럽을 여행하며 5성급 호텔에 머물고, 디자이너 스트리트웨어를 입고 있는 사진을 보았습니다. 우리가 전화와 가끔 문자로 나눈 대화에서, 올해 6월에 20세가 되는 페데리코에게 그의 생활 방식을 유지하는 방법에 대해 물었습니다.

페데리코는 부모와 여동생과 함께 부에노스아이레스에서 자랐습니다. 소프트웨어 엔지니어인 아버지의 영향을 받아, 그는 12세에 프로그래밍을 배우고, 14세에 10,000달러에 자신의 첫 프로그램인 비디오 게임 '마인크래프트'의 플러그인을 판매했습니다. "이것은 자유를 의미했습니다. 왜냐하면 더 이상 부모에게 돈을 요청할 필요가 없었고, 그들은 나를 응원해주었습니다."

그가 성장하면서 페데리코는 새로운 게임 'GTA V'로 전환했습니다. 그는 이 게임의 열렬한 팬을 위해 커스터마이즈된 멀티플레이어 게임 서버에 대한 반치트 시스템을 개발했습니다. "나는 메모리 읽기 오류를 발견했습니다. 우리는 여기서 이익을 얻을 수 있다는 것을 보았습니다." 페데리코가 말하며, 해당 소프트웨어 FiveGuard는 현재 다른 사람에게 넘어갔다고 덧붙였습니다. "이것은 특별합니다. 왜냐하면 당신이 어떤 불공정한 이점을 가지고 게임 서버에 들어가면 즉시 금지되기 때문입니다."

페데리코는 아르헨티나에서 법학을 전공할 계획이었지만, 2020년 졸업 후 코로나19 팬데믹에 대응하면서(부에노스아이레스에서는 많은 제한과 긴 격리 기간이 있었습니다), 페데리코는 부모의 동의를 얻어 대학에 가기 전에 긴 휴식을 취하기로 결정했습니다.

작년 10월 초, 페데리코는 로마에 갔습니다. 작년 12월, 그는 아르헨티나, 멕시코, 페루에서 운영되는 암호화폐 거래 플랫폼인 Buenbit을 겨냥하여 수십만 달러를 훔쳤다고 전해졌습니다. Buenbit의 CEO인 페데리코 오게는 이번 공격을 사기로 간주했습니다. 뉴스 보도는 경찰 소식통을 인용하여 이번 공격의 손실이 80만 달러라고 보도했지만, 페데리코는 이 숫자를 부인했습니다.

페데리코는 사건의 세부 사항에 대해 언급하기를 꺼려했지만, 그는 Buenbit을 목표로 삼았다고 인정하면서도, 언론 보도의 많은 더 흥미로운 세부 사항이 오해의 소지가 있거나 완전히 날조되었다고 주장했습니다. 이 20세 남자는 이 사건에서 무죄를 주장하며, 자신과 그의 변호사가 Buenbit 팀과 연락하고 있으며, 이 문제가 조속히 해결되기를 희망한다고 밝혔습니다.

그리고 불과 몇 달 후, 페데리코는 2억 달러에 대한 새로운 걱정을 가지게 되었습니다.

사진 출처：Instagram @federicojaimeok

공격이 발생했을 때, Euler Finance는 최대 7000명의 사용자를 보유하고 있었습니다. 이틀 후인 3월 15일, 한 피해자가 해커의 지갑(페데리코의 지갑)으로 메시지를 보냈습니다.

"90%/80%를 반환하는 것을 고려해 주세요. 저는 78 wstETH만 가진 사용자로, 제 인생의 저축을 Euler에 예치한 사람입니다. 저는 고래나 백만장자가 아닙니다." DL 뉴스는 이 사용자가 아르헨티나 블록체인 개발자인 산티아고 아발로스(Santiago Avalos)라고 확인했습니다. 그는 "당신이 지금 처한 혼란을 상상할 수 없으며, 완전히 파괴되었습니다…… 당신의 결정은 많은 영향을 받은 사람들에게 안도감을 줄 것입니다."라고 썼습니다.

아발로스의 평생 저축인 78 wstETH는 당시 14만 달러가 넘는 가치가 있었습니다. 아발로스가 메시지를 보낸 지 13시간 후, 페데리코는 응답했지만, 문자 메시지를 통해서가 아니라, 해킹 공격 이후 3일 만에 처음으로 행동을 취하여 아발로스에게 100 ETH를 전송했습니다. 이는 피해자가 Euler 붕괴에서 잃은 가치보다 약 2.7만 달러 더 많았습니다. 아발로스는 남는 자금을 Euler에 다시 전송하며 "그가 내 메시지에 감동했을 것이라고 믿습니다."라고 말했습니다.

"이것은 나의 진심 어린 행동입니다," 페데리코는 자금을 반환한 동기에 대해 말했습니다. "나는 당시 매우 관대했습니다. 게다가, 나는 나중에 이 사람이…… 아르헨티나인이고, Solidity 개발자라는 것을 알게 되었습니다," 그는 덧붙였습니다. "이는 정말 흥미로운 우연입니다."

페데리코는 자금 이체를 완료하지 않았습니다. 그는 이미 두 번에 걸쳐 Tornado Cash를 통해 자신에게 1100 ETH를 전송하여 그의 수익을 거의 200만 달러로 만들었습니다. 내가 그 이유를 물었을 때, 페데리코는 "나는 많이 생각하지 않았습니다. 그들이 나에게 10%의 보상을 준다면, 나에게는 너무 많은 것입니다. 나는 그 중 1%라도 가져가려고 했습니다."라고 말했습니다.

그의 다음 행동은 지금까지 가장 혼란스러운 것이었습니다. 3월 17일, 새벽 5시 이전에, 페데리코는 다시 100 ETH를 전송했습니다. 이번에는 악명 높은 지갑으로, 이 지갑은 1년 전 역사상 가장 큰 암호화폐 해킹 중 하나인 Ronin Bridge에서 6억 달러 이상의 자금을 훔쳤습니다. 불과 한 달 후, 미국 재무부 외국 자산 통제 사무소(OFAC)는 Ronin Bridge 취약점을 한국의 라자루스 그룹과 공식적으로 연결했습니다.

하지만 내가 그에게 이 사건에 대해 물었을 때, 그의 설명은 나를 놀라게 했습니다. "나는 이것이 북한과 관련이 있다는 것을 전혀 몰랐습니다. 나는 결코 의심하지 않았습니다," 그는 말하기 시작했습니다. "나는 Ronin 사용자에게 100 ETH를 전송한 이유는 순전히 존경심 때문이었습니다…… 나는 화이트 해커에서 블랙 해커로서 나의 존경심을 표현하고 싶었습니다."

나는 충격을 받았고, 페데리코도 이를 알아차렸습니다. "나는 당신이 내가 이렇게 말할 것이라고 생각하지 않았다는 것을 압니다. 하지만 그것이 사실입니다," 그는 대답했습니다. "나는 이것이 오늘날 세계에서 가장 중요한 분야라고 생각합니다. Ronin 해커의 공격은 엔지니어링 행위입니다. 그런 의미에서, 그것은 존경할 만한 것입니다…… 악마도 아름다운 여자가 될 수 있습니다."

다음 날, 페데리코는 자금을 반환하기 시작했습니다. 처음에는 세 번에 걸쳐 각 1000 ETH씩, 당시 총 540만 달러에 해당했습니다. 그 후, 그의 지갑은 다시 잠잠해졌습니다. 분석가들은 그 당시 Euler가 나머지 자금을 회수할 수 있을지 의문을 제기했습니다.

하지만 이틀 후인 3월 20일, 페데리코는 Euler 팀에 첫 번째 메시지를 보냈습니다. "우리는 모든 영향을 받은 사람들이 쉽게 대처할 수 있도록 하고 싶습니다. 우리가 소속되지 않은 것을 보유할 의도가 없습니다. 안전한 통신을 설정합시다. 합의에 도달합시다."

페데리코는 이 메시지가 조금 늦었다고 인정했습니다. "나는 2000만 달러를 내 손에 보유하는 것이 좋은 생각인지 결정하려고 했습니다…… 왜냐하면 이것은 Euler가 나에게 제공한 것이기 때문입니다," 그는 말했습니다. "나는 준비가 되어 있지 않았고, 경험이 부족했으며, 신인이었습니다…… 나는 며칠, 몇 주 동안 잠을 자지 못했지만, 결국 나는 반환해야 한다는 것을 알았습니다. 나는 Euler 사용자에게 어떤 피해도 주고 싶지 않았습니다."

그럼에도 불구하고, 페데리코는 자금을 반환하는 데 상당한 시간을 소요했습니다. 3월 25일 오후 3시경, 처음으로 81,953 ETH(약 1억 4300만 달러)가 나타났습니다. 그 후 27일에 1000만 달러의 DAI가 이어졌습니다. 28일 새벽 3시, 페데리코는 공개적으로 사과하며 "나는 망쳤습니다. 나는 원하지 않았지만, 나는 다른 사람의 돈, 다른 사람의 일, 다른 사람의 삶을 방해했습니다…… 용서해 주세요."라고 말했습니다. 그러나 일부 자금은 여전히 그의 통제 하에 있었습니다.

결국, 4월 3일, Euler 팀은 해커의 마지막 거래 이후 모든 "회수 가능한 자금"이 반환되었다고 흥분하며 발표했습니다. Euler는 또한 페데리코에 대한 100만 달러의 현상금을 공식적으로 철회했습니다. 자금의 회수는 DeFi 역사상 가장 성공적인 복구 중 하나를 나타내며, 페데리코는 안도의 한숨을 내쉬며 모든 것이 끝났습니다.

그런 다음, 두 달 반 후, 페데리코의 지갑이 다시 활성화되어 자신에게 메시지를 보냈습니다. 첫 번째 메시지는 6월 17일, 단 두 단어로 "Ben yre"—부에노스아이레스였습니다. 17분 후, 지갑은 또 다른 메시지를 보냈고, 자신을 아르헨티나인, 페론주의자, 화이트 해커라고 소개했습니다. 이 메시지는 다른 해커들에게 "바보 같은 짓을 하지 말고, 도둑질하지 말고, 보상을 받으세요."라는 조언을 담고 있었습니다.

메시지의 마지막에는 인스타그램 계정인 @federicojaimeok에 링크가 걸려 있었습니다. 나는 그에게 개인 메시지를 보냈습니다. 우리는 인스타그램에서 대화를 시작했고, 인스타그램에는 2022년 9월 이후 페데리코의 이야기가 기록되어 있었습니다. 이후 우리는 텔레그램을 통해 대화했습니다. 우리의 대화 과정에서, 그가 나에게 말한 모든 것은 내가 다른 출처에서 알게 된 페데리코에 대한 정보와 일치했습니다. 페데리코는 또한 그의 아버지의 전화번호를 제공했으며, 아버지는 그의 신원과 페데리코와의 관계를 확인해주었고, 페데리코가 나에게 말한 정보와 일치하는 다른 정보를 제공했습니다.

페데리코는 자신이 모습을 드러내기로 결정한 것은 자신의 이익이 아니라 DeFi 커뮤니티의 이익을 위해서라고 말했습니다. "나는 도덕적 해킹을 장려하고 싶었습니다. 이것이 주요 이유이며, 사람들에게 올바른 일을 하라고 알리고 싶었습니다."

페데리코는 또한 Euler와 공격자 간의 협상 전략이 DeFi의 다른 부분에 모범 사례를 설정할 것이라고 희망했습니다. 그는 "나는 Euler 해킹 사건 이후 탈중앙화 금융 분야의 해커 환경이 달라질 것이라고 확신합니다. 나는 이것이 세상에 감사의 중요성과 해킹 공격 후 협상의 중요성을 보여준다고 생각합니다."라고 말했습니다.

Chainalysis의 조사 부사장 에린 플란트(Erin Plante)는 "하지만 암호화폐 분야의 모든 사람이 취약점 보상과 해커 협상이 일반화되는 것을 열망하는 것은 아닙니다. 대부분의 DeFi 해커는 합법적인 취약점 보상에서 10만 또는 50만 달러를 받는 것이 아니라, 종종 도난 자금 총액의 50% 이상을 수수료로 요구하는 경우가 많아, 이는 더 강력한 협박에 가깝습니다."라고 지적했습니다.

플란트는 또한 법 집행 기관이 불법 암호화폐 추적을 점점 더 잘하고 있기 때문에 해커들이 보상을 받기 더 어려워지고 있다고 언급했습니다. 그녀는 "이 경우, 전체 산업의 보상이 집단적으로 감소함에 따라 해커들이 이 일을 하는 동기가 바뀔 가능성이 있습니다."라고 말했습니다.

페데리코는 처음부터 자금을 반환할 계획이었다고 여러 번 주장했습니다. 그렇다면 왜 그는 3주가 걸렸을까요?

"나는 나 자신을 보호할 시간을 갖고, 합법적인 방법과 다른 방법으로 안전한 방법을 찾고 싶었습니다."라고 그는 말했습니다.

물론, 페데리코의 일부 주장은 확인할 수 없습니다. 페데리코는 해당 프로토콜의 설계와 실행이 전적으로 그의 작업이라고 말했습니다("이 모든 것은 내가 혼자서 했습니다"), 비록 그는 가끔 동료에게 조언을 받았다고 인정했습니다. 예를 들어, 연구해야 할 DeFi 프로토콜 목록(이는 다른 사람의 참여를 숨기기 위한 것처럼 보이며, 우리가 가진 체인 데이터로는 누가 코드를 작성했는지 확인할 수 없습니다).

우리는 또한 페데리코가 이번 공격을 더 잘 계획했다면 그가 이 돈을 보유했을지 결코 알 수 없을 것입니다. 그는 나에게 후회한다고 인정했습니다. 결과를 고려하지 않은 것에 대해, 그러나 그는 단지 올바른 일을 하려고 했다고 말했습니다. "나는 단지 계획이 부족했고, 금액이 너무 커서 감당할 수 없었습니다."라고 그는 말했습니다.

페데리코는 그가 Euler 팀에 가져다 준 고통에 대해 유감스럽게 생각한다고 말했습니다. "마이클 벤틀리의 트윗을 보고 그가 가족과 함께하는 시간을 희생해야 했다고 할 때, 내 마음이 찢어졌습니다."라고 그는 말했습니다. 내가 그에게 이번 공격이 미래에 미칠 영향에 대해 걱정하는지 물었을 때, 그는 그 걱정을 부인했습니다. "나는 법적으로 Euler 팀이 나를 소급적으로 추적하지 않을 것이라고 믿습니다. 왜냐하면 그것은 미래의 해커들이 자금을 반환하는 것을 방해할 것이기 때문입니다."

Euler Finance는 4월 12일부터 공격 피해자에게 보상을 시작했으며, 이는 피해자들에게 기쁜 소식이었습니다(거의 믿을 수 없는 일이었습니다). 이 취약점의 영향은 다른 11개의 DeFi 프로토콜로 확산되었습니다. 그 중 하나(Yield Protocol)는 6월 27일까지 복구되지 않았습니다. 해킹 공격 이후, Euler Finance는 계속해서 마비 상태에 있었습니다.

페데리코는 여전히 유럽에 있으며, 자신의 개인 상황을 "매우 복잡하다"고 묘사했지만, 그는 곧 부에노스아이레스로 돌아가 학업을 계속하고 싶다고 밝혔습니다. "Euler 해킹 사건 이후, 내 삶은 그렇게 쉽지 않았고, 나에게 스트레스를 남겼습니다."

나는 페데리코에게, 그가 신이 그의 기도에 응답하고 그에게 교훈을 주고 있는 것처럼 보인다고 생각하는지 물었습니다. "나는 그가 나와 장난을 치고 있거나, 나를 (시험)하고 있다고 생각합니다."라고 그는 대답했습니다.

페데리코는 아직 결정을 내리지 않았습니다.