A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network
18 de agosto de 2021A menção a Dâmocles no segundo posicionamento da Poly Network para extinguir “o incêndio”, teve intenção cirúrgica
Um drama de múltiplos sentidos em que, quem comanda o maior roubo de criptoativos da história, devolve parte do dinheiro dizendo que foi tudo por diversão e ainda pode ter garantida uma recompensa de 500 mil.
Por Carlos Cabral
“A segurança de ativos é a espada de Dâmocles que paira sobre toda a indústria de criptoativos”. É com a mítica afirmação acima que a Poly Network abre o comunicado oficial publicado no último sábado, sobre os mais recentes passos que a empresa deu no sentido de recuperar seu ambiente, seu caixa e sua imagem do incidente ocorrido na semana passada.
Operando como uma plataforma de cross chain, a Poly Network permite a interoperabilidade entre diversas blockchains em um sistema que, segundo eles, foi produzido com o objetivo de “construir a infraestrutura de Internet da próxima geração“.
Esta infra foi alvo de um colossal ataque em que aproximadamente de 600 milhões de dólares em criptoativos, por volta 3.1 bilhões de reais, foram roubados.
A empresa apelou aos ladrões para que devolvessem o dinheiro roubado por meio de uma carta publicada no Twitter que dizia educadamente que o volume era alto demais para passar despercebido.
A mensagem teve efeito e os atacantes passaram a devolver os ativos de modo que até o final da semana passada, já haviam sido devolvidos aproximadamente duzentos e setenta milhões de dólares em criptomoedas.
Dâmocles
A menção a Dâmocles no segundo posicionamento público da empresa sobre o caso, o qual visava apresentar os planos da Poly Network para extinguir “o incêndio”, teve intenção cirúrgica.
Dâmocles é o personagem de uma história (ao que tudo indica, apócrifa) que invejava a riqueza e os privilégios de seu rei, Dionísio II de Siracusa, o qual propõe trocar de posição com ele por um dia.
Após tomar posse do trono, Dâmocles percebe que havia uma espada pendurada sobre sua cabeça, sustentada por uma fina linha.
Ele então pergunta o que seria aquilo. Dionísio II diz que o desconforto de ter uma espada pairando sobre sua cabeça simbolizava o risco com o qual ele, por ser rei, lidava todos os dias. Pois o resultado de suas decisões poderia, a qualquer momento, cobrar seu preço.
É claro que, percebendo o desconforto da situação, Dâmocles desfez o acordo de ser rei por um dia e nunca mais invejou o trono do monarca.
Ao usar essa alegoria para falar do incidente, a Poly Network quer demonstrar que o risco de perder dinheiro por problemas de segurança seria algo típico da natureza da indústria de criptoativos, numa tentativa de humanizar a falha, dando um tom de que esse é o preço que os grandes, os pioneiros ou os desbravadores podem ter que pagar pela inovação.
O caso se tornou o maior incidente envolvendo criptoativos na história, mas também demonstra que uma sutil escolha de palavras pode afetar os stakeholders de diversas formas pois, em meio a um incidente, a comunicação é tão importante quanto o retorno à normalidade ou até a busca por responsáveis.
Mr. White Hat
Há muita especulação a respeito de quem seriam os bandidos, ou até mesmo se seriam bandidos, mas sem nenhuma determinação clara até o momento em que fecho essa coluna. Outro questionamento relevante é o motivo pelo qual os atacantes estariam devolvendo o produto do roubo.
Sobre estes e outros temas, circulou um Q&A em que o suposto atacante, além de dizer que a Poly Network se tornou alvo do ataque porque “Cross Chain Hacking is Hot”, afirma que o ataque aconteceu por pura diversão.
Sobre o motivo da devolução do dinheiro, ele ou ela somente diz “whatever :)”.
Sob a narrativa arrogante pode haver o receio de ser preso e isso pode ser uma das razões por trás da devolução dos ativos, mas também faz mais sentido exercitar a perspectiva considerando o volume de ativos em relação ao esforço, o custo e o risco de convertê-los em dinheiro para o uso prático do dia a dia.
Mesmo com a paciência para esperar anos até a poeira baixar, haveria a necessidade de lavar o dinheiro e essa não é uma operação simples. Gangues de ransomware geralmente usam serviços do underground para isso, mas em volumes menores.
Ou seja, talvez o trabalho de diluir a rastreabilidade dos ativos demandaria o contato com outras pessoas e o esforço de garantir a segurança dessa comunicação de modo a não deixar rastros que poderiam ser notados pelas forças de segurança seria algo que poderia demandar uma infraestrutura complexa.
Algo que uma Coreia do Norte, por exemplo, poderia suportar, mas que talvez fosse intolerável para um pequeno grupo, ou para um indivíduo isolado.
Ou seja, talvez o atacante tenha vivenciado uma escolha de Dâmocles: tendo sentado no trono de 600 milhões de dólares, encarado a espada sobre sua cabeça e percebido que não estava em condições de sustentar aquela posição.
Por outro lado, a Poly Network se comprometeu em pagar 500 mil dólares em bug bounty ao atacante, que foi denominado em seus blogposts pela respeitosa (e ao mesmo tempo dissimulada) alcunha de Mr. White Hat.
Sob a perspectiva da indústria de criptoativos a recompensa pode abrir um precedente perigoso em que outras pessoas poderão se sentir livres para atacar empresas desse ramo e cobrar uma recompensa para devolver os ativos, mas para quem levou os 600 milhões da Poly Network, caso seja possível manter o anonimato na transação, vale mais a pena aceitar a recompensa e devolver o resto. Pois enquanto isso, a espada ainda paira sobre sua cabeça.