攻陷Poly Network加密货币平台的黑客表示,盗窃只是“为了好玩:)”;该黑客现退还盗取的加密货币。黑客还声称,这些货币已转移到了自己的钱包中,“以确保安全”。
Poly Network周二首次披露了这次黑客攻击事件,称黑客在劫案发生时窃取了价值约6亿美元(约39亿人民币)的加密货币。
数以千计的代币包括:以太坊区块链上的2.7亿美元、币安智能链上的2.5亿美元、Polygon网络上的8400万美元以及少量其他知名度较小的代币,比如Tether、Shiba Inu和Matic。
截至今天凌晨4点,Poly Network表示3.42亿美元已退还。该公司表示,其余的显然都采用以太坊,正在“逐渐转移”。
Poly Network运营的平台让人们可以使用有助于实现流程自动化的智能合约,在不同的区块链之间转移代币。该公司在推文中表示,该黑客利用了Poly Network的其中一个智能合约中存在的漏洞。该智能合约需要大量的流动性,以便可以快速且高效地完成不同区块链之间的交易。
葫芦里卖的什么药?
据Kelvin Fichter在推文上发布的分析这次黑客活动的结果显示,黑客显然利用了Poly Network验证智能合约的方式所存在的漏洞,更改公钥列表以匹配黑客的私钥。一旦更改了这些密钥,黑客就能够将资金改而转移到个人钱包。
在其中一笔交易中充斥着感叹号的全大写问答(Q&A)中,黑客对这次活动背后的动机作出了一番解释。(我们无法验证这些陈述的真实性,不过一位专家称它们与黑客的帐户有关)黑客写道。“发现这个漏洞后,我有一种难以名状的感觉。问问自己,如果你突然面临这么庞大的财富,你会怎么做。礼貌地询问项目团队,以便他们可以修复漏洞?给你10亿,谁都会做叛徒!”
黑客还给出了退还资金的理由,声称:“这一直是计划之中!我对钱不是很感兴趣!我知道人们受到攻击后痛苦不堪,但他们不应该从那些攻击活动中汲取点教训吗?”
不过这个黑客当然不会放弃一些额外的现金。该黑客说:“与此同时,存入「Tether之类的稳定币」可以生一些利息以支付潜在成本,那样我就有更多的时间与Poly的团队进行谈判了。”
谈判策略
在Poly Network披露攻击事件后不久,它在Twitter上向黑客喊话。“你盗取的金额是defi有史以来数额最大的一笔。任何一个国家的执法部门都会将此视为重大经济犯罪,你将受到追捕。你再做任何交易都是很不明智的。”
这一谈判策略以及Tether冻结Poly Network上价值3300万美元的代币似乎奏效了。LMAX Group的货币策略师Joel Kruger向《华尔街日报》表示,匿名转移这么多数量的加密货币,难度之大可想而知,这也给黑客提出了挑战。他说:“你将不得不想方设法提取以变现——考虑到可以跟踪从一个钱包到另一个钱包、从一个交易所到另一个交易所的交易活动,提取变现变得更加不可能了。”
喊话后不到一天,黑客就开始将窃取的加密货币退回该公司。
在问答中,该黑客试图装出一副白帽黑客的样子,写道:“我明白即使我不作恶,也有可能暴露身份。因此,我使用了无法追踪的临时的电子邮件、IP或所谓的指纹「原文如此」。”
该黑客最后不忘对加密货币社区冷嘲热讽一下:“我更喜欢待在黑暗中拯救全世界。”
奖励黑客50万美元的“漏洞赏金”
Poly Network周五证实,它已向黑客开出了50万美元的“漏洞赏金”。
它在一份声明中感谢黑客“帮助我们提高Poly Network的安全性”,称之为“白帽黑客”(这个行业术语是指通常旨在揭露网络漏洞的道德黑客),对方已退还了大部分资金。
该网络还表示,它希望“白帽黑客先生”一收到50万美元的奖励,可以为区块链行业的持续发展做出贡献。这笔奖励是就退还数字货币进行谈判后所提供的。
这番声明并没有具体表明将以何种形式支付50万美元,表示黑客已经对这一提议作出了回应,但没有表示对方已接受提议。
参考链接:
https://arstechnica.com/tech-policy/2021/08/hacker-is-returning-600m-in-crypto-claiming-theft-was-just-for-fun/
https://www.reuters.com/technology/crypto-platform-poly-network-rewards-hacker-with-500000-bug-bounty-2021-08-13/