ЧТИВО Кто взломал DAO в 2016 году на 3,6 миллиона эфиров? ч.2
Статья расследования журнала Forbes

Время приближалось к сроку 21 июля —вывод средств был в определенные даты. Чтобы помешать злоумышленнику обналичить деньги, нужно было бы поместить токены в DarkDAO, а затем в любые будущие “дочерние DAO”. (Согласно правилам смарт-контракта DAO, злоумышленник не мог вывести средства, если кто-либо еще в их дочернем DAO возражал.)

В конце концов Ethereum совершил “хардфорк". 20 июля блокчейн Ethereum был разделен на две части. Все ETH, которые были в DAO, были переведены в контракт “вывод средств”, который давал первоначальным вкладчикам право отправлять свои токены DAO и получать обратно ETH на новом блокчейне.

На Ethereum Classic остались DAO и добыча злоумышленника (в виде 3,64 миллиона и т.д.). Летом злоумышленник переместил свои ETC в новый кошелек, который оставался бездействующим до конца октября, когда он начал пытаться использовать биржу под названием ShapeShift для обналичивания денег в BTC. ShapeShift в то время не собирал личную идентификационную информацию, личность злоумышленника не была известна, хотя все их движения в блокчейне были видны.

В течение следующих двух месяцев хакеру удалось получить 282 биткоина (тогда на сумму 232 000 долларов, сейчас более 11 миллионов долларов). А затем, ShapeShift отказались от обналичивания, оставив после себя 3,4 миллиона ETC.
Это могло бы стать концом истории — неизвестный хакер, сидящий на состоянии, которое он не может обналичить.

Среди первых подозреваемых во взломе были швейцарский бизнесмен и его сообщники, и, отслеживая средства, также обнаружили еще одного подозреваемого: российского разработчика Ethereum Classic. Но все эти люди находились в Европе / России и не попадали под время вывода
Chainalysis увидел, что предполагаемый злоумышленник отправил 50 BTC на кошелек Wasabi, целью которого является анонимизация транзакций путем объединения нескольких в так называемый CoinJoin.

Chainalysis тоже размешал транзакции Wasabi и отследил их вывод на четыре биржи. На последнем, решающем этапе сотрудник одной из бирж, что средства были обменены на Grin и выведены на узел Grin под названием grin.toby.ai.

На IP-адресе этого узла также размещались узлы Bitcoin Lightning: ln.toby.ai, lnd.ln.toby.ai и т.д., это не был VPN.
Он был размещен на Amazon Singapore. Lightning explorer 1ML показал узел с этим IP-адресом под названием TenX.

В в июне 2017 года, когда увлечение ICO достигло своего первоначального пика, было проведено ICO стоимостью 80 миллионов долларов под названием TenX. Генеральный директор и соучредитель использовали дескриптор @tobyai в AngelList, Betalist, GitHub, Keybase, LinkedIn, Medium, Pinterest, Reddit, StackOverflow и Twitter. Его звали Тоби Хениш.

Где он базировался? В Сингапуре.
Хотя Хоениш родился в Германии и вырос в Австрии, он свободно владеет английским языком.
Операции по обналичиванию средств происходили в основном с 8 утра до 11 вечера по сингапурскому времени.
И адрес электронной почты, используемый в этой учетной записи на бирже, был [название биржи]@toby.ai .

Ведущий технический инженер Лефтерис Карапетсас, в своем письме он сообщили, что в свое время у них была переписка с Хоениш на реддите, где он указывал на недостатки системы DAO

“Он был неприятным … он был довольно настойчив в том, что обнаружил множество проблем”. Услышав, что Darkdao ETC был переведен на узел Grin с псевдонимом Хоениша, Карапетсас заметил, что, если бы Хоениш вместо этого исправил ситуацию, он получил бы гораздо больше и не испортил свою репутацию.

Карапетсас услышав, что Хоениш был вероятным злоумышленником DAO, начал вспоминать детали взаимодействия со своим бывшим партнером, которые теперь, казалось, приобрели новое значение. Например, когда его спросили, увлекался ли Хоениш – Grin. Хосп сказал: “Да! Да, так оно и было.”

“Он всегда использовал tobyai”. Он подтвердил, что один из обычных адресов электронной почты Тоби заканчивался на @toby.ai .

Что, тоже является подтверждением участия во всем этом Хоенииша.

Оригинал