Kijavították a hibát, majd meggyőzték a csalót, hogy utalja vissza, amit még tud

Szerda reggel a Telexen is olvashattak arról, hogy különösen nagy kárt okozó csalás gyanújával indult eljárás egy 27 éves dunakeszi férfi ellen, aki a rendőrség gyanúja szerint egy magyar fejlesztésű kriptovalutával csalt, és ezzel 53 millió forintos kárt okozott. Az ügy már ez alapján is váratlanul érdekesnek tűnt a magyar kriptovilágban, ám mint arra egy olvasónk felhívta a figyelmünket, a történet még izgalmasabb annak hátterével együtt, melyből kiderült, hogy a token mögött álló csapat

másfél óra alatt beazonosította, majd elhárította a hibát, és közben még arra is volt idejük, hogy meggyőzzék az elkövetőt, jobban jár, ha visszaadja, amit még vissza tud.

Közösségi kölcsönök

Az ügy középpontjában a 2017-ben alapított Inlock nevű cég áll, melynek központja Észtországban található, a csapat nagy része viszont magyar, beleértve ebbe a vezérigazgató Csabai Csabát is. A cég saját bevallása szerint egy teljesen független, blokkláncalapú, közösségi kölcsönökkel foglalkozó (peer-to-peer lending) platform. A platform célja, hogy összekösse

• azokat, akiknek már van kriptovalutájuk, de egyelőre nem tudják azt hatékonyan felhasználni,
• azokkal, akik kamatoztatni akarják a kriptovalutájukat, de nem akarják magukat kitenni a hagyományos online piacok árfolyamkockázatának.

Az Inlock nagyon röviden összefoglalva azt teszi lehetővé, hogy különféle kriptovaluták bevonásával közvetítő nélkül vegyünk kölcsön vagy kölcsönözzünk ún. stablecoinokat. Ezek olyan kriptovaluták, melyek ára egy másik kriptovalutához, egy fiat pénzhez vagy tőzsdén forgalmazott árukhoz – például nemesfémekhez – van kötve, mint például az amerikai dollárhoz kötött USDC. Az Inlocknak 2019 vége óta saját kriptovalutája is van, az ILK, amely egyfelől a platform belső fizetőeszközeként szolgál, másfelől pedig kereskedni is lehet vele a japán székhelyű Liquid kriptotőzsdén.

A rendőrség által most részletezett ügyben az ILK okosszerződésével (smart contract) akadtak gondok. Az okosszerződések legnagyobb előnye, hogy a blokklánc-technológia miatt nem lehet megszegni őket, amennyiben a felek eleget tesznek az ezekbe kódolt, előre meghatározott feltételeknek, automatikusan teljesülnek. Alapesetben ez nagyszerű, nem véletlenül hivatkoznak erre rendszeresen a blokklánc-technológia egyik legnagyobb vívmányaként, az ILK esetében viszont március végén kiderült, hogy egy ponton porszem csúszott a gépezetbe.

Banális hiba, balek csaló

Az Inlock március 23-án tette közzé a beszámolóját a több tízmilliós kárt okozó incidensről, melyben azt írták, hogy több független bejelentés nyomán március 20-án éjjel kezdték el vizsgálni az esetet. A bejelentések alapján valaki hirtelen több mint 30 millió ILK eladását kezdeményezte a Liquiden, ez pedig azzal karöltve, hogy az eladó erősen áron alul próbált megszabadulni a tokenjeitől, kezdettől fogva arra utalt, hogy illegálisan juthatott hozzájuk. Az hamar kiderült, hogy az eladó nem az Inlock platformján keresztül jutott hozzá a tokenekhez, vagyis a felhasználók tokenjei biztonságban voltak, és azt is gyorsan kizárták, hogy a kriptotőzsde oldalán lehet probléma.

Így aztán két lehetőség maradt – vagy elloptak valakitől 30 millió ILK-t, vagy az okosszerződéssel volt gond.

Előbbit aztán hamar elvetették, mert kevés olyan ügyfelük volt, akinek egyáltalán volt ennyi tokenje, ők pedig mint az Inlock platformján tárolták azokat, így azonnal bevonták az okosszerződést fejlesztő kollégáikat a probléma felderítésébe. Nem sokkal később egy módosítással felfüggesztették az összes tokenmozgást, és izolálták a problémát, szűk negyedóra múlva pedig meg is találták a hibát.

Mint kiderült, az okosszerződés nagyon specifikus hibáját kihasználva a titokzatos eladó képes volt duplikálni a tokenjeit, ezt pedig ki is használta, és durván 80 milliósra duzzasztotta a saját készletét, amit aztán két részletben próbált meg eladni.

A hibát percek alatt sikerült kijavítani, némi tesztelést követően pedig ismét lehetett rendeltetésszerűen használni az ILK-t. Az ügyfelek értesítésétől számítva az egész folyamat nagyjából másfél órát vett igénybe, olvasónk elmondása szerint pedig eközben folyamatosan kommunikálták is a fejleményeket a projekt Telegram-csoportjában. Arra is volt idejük, hogy felvegyék a kapcsolatot a jól beazonosítható elkövetővel, akinek jelezték, hogy feljelentést kezdeményeznek az ügyben a Nemzeti Kibervédelmi Hatóságnál. A rendőrség által megnevezett Sz. Norbert némi mérlegelés után az együttműködés mellett döntött, és visszautalta a tokenekért kapott bitcoint és ethereumot, illetve a megmaradt ILK tokeneket is.

Helyreállt a rend

Az Inlock beszámolója szerint az okosszerződésben szereplő hibát valószínűleg teljesen véletlenül találhatták meg, ám a blokklánc történetét visszanézve kiderült, hogy 2018 nyara óta létezik, és másoknak is sikerült már kisebb mennyiségű ILK-t duplikálniuk a segítségével. Mint írták, ennek fényében különösen meglepő, hogy mindössze háromszor használták ki, és a márciusi incidens volt az egyetlen, amely nagyobb károkkal járt. Mivel az ILK megalkotásakor a fejlesztők 4,4 milliárdos plafonnal számoltak, a duplikálással létrejött tokeneket elégették, ám azt kiemelték, hogy

aki vásárolt az elkövetőtől, az megtarthatja a tokeneit, hiszen fizetett értük.

Az Inlock márciusban azt írta, reményeik szerint a hatalmas mennyiségű, piacra dobott kriptovaluta miatt bezuhanó árfolyam két-három napon belül visszaállhat a korábbi szintre. Hozzátették ugyanakkor, hogy a bizalom visszaállítása valószínűleg tovább tarthat majd, de teljes mellszélességgel kiállnak a token értéke, illetve a modell mellett.

A CoinMarketCap adatai alapján jól látszik, hogy március 20-án bezuhant az ILK, ám ez végül nem befolyásolta számottevően a megítélését, a token árfolyama azóta is folyamatosan nő. A cikk írásakor az ILK árfolyama 0,007744 dollár, az összes token értéke pedig közel 34 millió dollár, vagyis több mint 10 milliárd forint.