Читаем На шифре. Инсайдерская история криптовалютного бума полностью

Через пару дней кошелек, связанный с Dexaran – базирующимся в России разработчиком Ethereum Classic, – перевел Хакеру-3 1,05 ETC. Может ли Dexaran быть хакером, совершившим этот перевод по ошибке и выдавшим себя? Dexaran согласился на интервью, но затем не ответил на четыре письма, даже когда я всего лишь спросила, зачем он слал деньги на кошелек предполагаемого хакера. В интервью со сторонником ETC он отрицал все обвинения: «Будь я хакером The DAO, зачем бы мне понадобился ICO, чтобы финансировать свою команду?»

14 ноября операции по обналичиванию проходили успешно. Но закончился этот день блокировкой одной из транзакций, как заблокировали и другую через два дня. Потеряв 5 326 ETC за три дня, хакер выбрал другую тактику: перейти на новый ETC-аккаунт, послать крипту на ShapeShift, снять на новый BTC-адрес. Переводы ETC занимали от шести до девятнадцати минут, зато каждая транзакция на ShapeShift следовала меньше чем через минуту, будто хакер пытался застать биржу врасплох и не дать ей заблокировать транзакции. Так и получилось 2, 5, 6 и 7 декабря. Но шесть попыток 9 и 11 декабря уже были пресечены.

Затем подозреваемый остановился, оставив на Хакер-2 больше 3,36 миллиона ETC (181 миллион долларов на начало октября 2021 года), а также 47 262 ETC (2,6 миллиона долларов на начало октября 2021 года) на адресе, начинающемся с 0x1b63b, и суммы поменьше – на других.

Ему удалось конвертировать 235 115 ETC (тогда – 214 тысяч долларов) в почти 282 BTC (15 миллионов на начало октября 2021 года).

Обналичивания хакера обычно проходили с 0:00 до 15:00 по Гринвичу, почти никогда – с 15:00 до 0:00, но иногда – в 22:00 и 23:00. Интернет-активность бизнесмена, его партнеров и Dexaran проходит приблизительно с 5:00 до 22:00/23:00 по Гринвичу, что пересекается с предположительным временем сна хакера. Все эти люди находятся в Европе/России, но время обналичивания сходится с азиатским графиком: например, с 9 утра до полуночи по времени Токио.

Однако сообщения хакера на ShapeShift, хоть они и полны сокращений, говорят о хорошем владении английским языком: «токенов dao все еще нет. должна пройти эта tx [транзакция]. пожалуйста пошлите хеш tx возмещения или токены dao. спасибо». Другой автор, Мэтью Лайсинг, расследовал случай хакера-подражателя, приславшего группе «Робин Гуд» записку с фразой «Разве вы тоже это делаете не для того, чтобы увидеть лучшее будущее?» Она привела Мэтью к японскому разработчику. Я не рассматривала это послание, потому что оно пришло от подражателя и было построено не совсем грамотно, отчего создавалось впечатление, что это совсем другой человек. Но, увидев часы обналичивания, я призадумалась, не погорячилась ли.

Отталкиваясь от данных Coinfirm, два моих источника увидели, что предположительный хакер послал 50 BTC на десктопный кошелек Wasabi – частный биткойн-кошелек, помогающий анонимизировать транзакции с помощью так называемого CoinJoin, когда смешиваются вместе несколько операций, что хакер и проделал несколько раз. Однако с помощью специальной технологии компания Chainalysis все-таки смогла разделить разные транзакции Wasabi и отследить их до четырех бирж. И хотя частная политика бирж обычно запрещает разглашать данные пользователей, на главном и заключительном этапе расследования работник одной биржи подтвердил моему источнику, что средства разменяли на анонимный койн Grin и сняли их на Grin-нод grin.toby,ai.

На IP-адресе этого нода также хостились ноды Bitcoin Lightning – ln.toby.ai, lnd.ln.toby.ai и так далее, и существовал он больше года, то есть это не VPN.

Хостился он на сингапурском Amazon. Через 1ML – браузер Lightning – по этому IP можно видеть нод под названием TenX.

Для тех, кто занимался криптой в июне 2017 года, это знакомое название. В том месяце, когда ICO-бум достигал первого пика, прошло ICO на 80 миллионов долларов компании TenX. CEO и соучредитель – Тоби Хёниш. И какой же у него ник на AngelList, BetaList, GitHub, Keybase, LinkedIn, Medium, Pinterest, Reddit, Stack Overflow и Twitter? @tobyai.

Его местонахождение? Сингапур.

Хотя Тоби немец и вырос в Австрии, он хорошо знает английский язык.

Транзакции по обналичиванию проходили с 8 утра до 11 вечера по сингапурскому времени.

А имейл аккаунта на той бирже – [название биржи]@toby.ai.

В мае 2016 года, когда The DAO завершало свой рекордный краудфандинг, Тоби – человек с высокими скулами, рыжевато-каштановыми волосами с залысинами и стройным атлетичным телосложением – крайне им заинтересовался. 12 мая он посоветовал по электронной почте соучредителю TenX Джулиану Хоспу («Появилась прибыльная криптосделка») шортить ETH, когда закончится краудфандинг The DAO. 17 и 18 мая на канале The DAO в Slack он завел долгий разговор, сделав минимум (смотря как считать) пятьдесят два комментария об уязвимостях The DAO, обсуждая разные аспекты кода и выясняя, что именно возможно при его нынешней структуре.