BTC-адрес. Переводы ETC занимали от шести до девятнадцати минут, зато каждая транзакция на ShapeShift следовала меньше чем через минуту, будто хакер пытался застать биржу врасплох и не дать ей заблокировать транзакции. Так и получилось 2, 5, 6 и 7 декабря. Но шесть попыток 9 и 11 декабря уже были пресечены.

Затем подозреваемый остановился, оставив на Хакер-2 больше 3,36 миллиона ETC (181 миллион долларов на начало октября 2021 года), а также 47 262 ETC (2,6 миллиона долларов на начало октября 2021 года) на адресе, начинающемся с 0x1b63b, и суммы поменьше – на других.

Ему удалось конвертировать 235 115 ETC (тогда – 214 тысяч долларов) в почти 282 BTC (15 миллионов на начало октября 2021 года).

Обналичивания хакера обычно проходили с 0:00 до 15:00 по Гринвичу, почти никогда – с 15:00 до 0:00, но иногда – в 22:00 и 23:00. Интернет-активность бизнесмена, его партнеров и Dexaran проходит приблизительно с 5:00 до 22:00/23:00 по Гринвичу, что пересекается с предположительным временем сна хакера. Все эти люди находятся в Европе/России, но время обналичивания сходится с азиатским графиком: например, с 9 утра до полуночи по времени Токио.

Однако сообщения хакера на ShapeShift, хоть они и полны сокращений, говорят о хорошем владении английским языком: «токенов dao все еще нет. должна пройти эта tx [транзакция]. пожалуйста пошлите хеш tx возмещения или токены dao. спасибо». Другой автор, Мэтью Лайсинг, расследовал случай хакера-подражателя, приславшего группе «Робин Гуд» записку с фразой «Разве вы тоже это делаете не для того, чтобы увидеть лучшее будущее?» Она привела Мэтью к японскому разработчику. Я не рассматривала это послание, потому что оно пришло от подражателя и было построено не совсем грамотно, отчего создавалось впечатление, что это совсем другой человек. Но, увидев часы обналичивания, я призадумалась, не погорячилась ли.

Отталкиваясь от данных Coinfirm, два моих источника увидели, что предположительный хакер послал 50 BTC на десктопный кошелек Wasabi – частный биткойн-кошелек, помогающий анонимизировать транзакции с помощью так называемого CoinJoin, когда смешиваются вместе несколько операций, что хакер и проделал несколько раз. Однако с помощью специальной технологии компания Chainalysis все-таки смогла разделить разные транзакции Wasabi и отследить их до четырех бирж. И хотя частная политика бирж обычно запрещает разглашать данные пользователей, на главном и заключительном этапе расследования работник одной биржи подтвердил моему источнику, что средства разменяли на анонимный койн Grin и сняли их на Grin-нод grin.toby,ai.

На IP-адресе этого нода также хостились ноды Bitcoin Lightning – ln.toby.ai, lnd.ln.toby.ai и так далее, и существовал он больше года, то есть это не VPN.

Хостился он на сингапурском Amazon. Через 1ML – браузер Lightning – по этому IP можно видеть нод под названием TenX.

Для тех, кто занимался криптой в июне 2017 года, это знакомое название. В том месяце, когда ICO-бум достигал первого пика, прошло ICO на 80 миллионов долларов компании TenX. CEO и соучредитель – Тоби Хёниш. И какой же у него ник на AngelList, BetaList, GitHub, Keybase, LinkedIn, Medium, Pinterest, Reddit, Stack Overflow и Twitter? @tobyai.

Его местонахождение? Сингапур.

Хотя Тоби немец и вырос в Австрии, он хорошо знает английский язык.

Транзакции по обналичиванию проходили с 8 утра до 11 вечера по сингапурскому времени.

А имейл аккаунта на той бирже – [название биржи]@toby.ai.

В мае 2016 года, когда The DAO завершало свой рекордный краудфандинг, Тоби – человек с высокими скулами, рыжевато-каштановыми волосами с залысинами и стройным атлетичным телосложением – крайне им заинтересовался. 12 мая он посоветовал по электронной почте соучредителю TenX Джулиану Хоспу («Появилась прибыльная криптосделка») шортить ETH, когда закончится краудфандинг The DAO. 17 и 18 мая на канале The DAO в Slack он завел долгий разговор, сделав минимум (смотря как считать) пятьдесят два комментария об уязвимостях The DAO, обсуждая разные аспекты кода и выясняя, что именно возможно при его нынешней структуре.

Один момент побудил его написать по электронной почте Кристофу, Лефтерису и Гриффу. Сообщение он начал с того, что готовит предложение на спонсирование от The DAO для криптокарты DAO.PAY, и добавил: «Мы провели собственную экспертизу кода The DAO и нашли несколько тревожных моментов». Он описал три возможных вектора атаки и позже описал четвертый. Кристоф ответил по пунктам, согласившись с некоторыми утверждениями, но заметив, что другие «ошибочны» или «не работают». Диалог закончился письмом Тоби: «Буду держать в курсе, если найду что-нибудь еще».

Но вместо новых писем Тоби выложил 28 мая четыре поста Medium, начав с «The DAO – голосование без риска». Второй – «The DAO – шантаж с выводом средств» – предвещал главную проблему The DAO и причину, по которой Ethereum решил провести хардфорк: если бы они его не сделали, то оставалось бы лишь два варианта – либо хакеру позволили бы обналичить награбленное, либо группа обладателей токенов DAO до конца жизни гонялась бы за ним по новым DAO-сплитам, которые тот стал бы создавать для обналичивания. «Вкратце: если попадете в DAO-контракт без большинства голосов, хакер может бесконечно блокировать все снятия средств», – писал он. В третьем посте объяснялось, как сделать это дешево.

В последнем и самом красноречивом посте, «The DAO – урок на 150 миллионов по децентрализованному управлению», говорилось, что DAO.PAY решили не делать предложение, найдя «крупные уязвимости в безопасности», и что «Slock.it преуменьшил серьезность потенциальных направлений атаки». Тоби писал: «The DAO запустилось… и мы еще ждем, когда Slock.it выложит предупреждение, что БЕЗОПАСНОГО СПОСОБА ВЫВЕСТИ СРЕДСТВА НЕТ!»

В последнем посте от 3 июня, «Объявление BlockOps: задачи по взлому блокчейнов», говорилось: «BlockOps – ваша игровая площадка, чтобы вскрывать шифры, воровать биткойны, ломать смарт-контракты и просто проверять свои познания в области безопасности». Он обещал «постить новые вызовы в сфере биткойна, эфира и веб-безопасности каждые две недели», но я не нашла доказательств, что он это делал.

Через две недели произошла атака на The DAO. На утро после атаки, в 7:18 по сингапурскому времени, Тоби затроллил Виталика, ретвитнув его пост до атаки теперь, когда уже стало известно, что в коде The DAO все-таки была уязвимость. В том твите двухнедельной давности Виталик сказал, что покупает токены DAO с момента выхода новостей об их надежности. В следующие две недели Тоби твитил против хардфорка, например: «„Слишком большой, чтобы рухнуть“, – это гарантия обрушения».

Что интересно, 5 июля, через пару недель после атаки, Тоби и Лефтерис списались в личке Reddit под темой «Контратака против темной DAO» – хотя о чем, в точности