Хакеры Poly Network задерживают передачу украденных активов

Взлом Poly Network, возможно, крупнейший в истории взлом децентрализованных финансов, затянулся на вторую неделю. Хакеры, которых компания окрестила «мистером Белая шляпа», откладывают полное восстановление украденных активов, удерживая закрытый ключ от кошелька с несколькими подписями, на который были переведены украденные активы. Кошелек с несколькими подписями, созданный Poly Network, совместно контролируется его командой и хакерами.

В пятницу Poly Network подтвердила возврат всех украденных активов на сумму более 600 миллионов долларов США, за исключением замороженных токенов Tether на сумму около 33 миллионов долларов США, в кошелек.

В то время Poly Network предложила преступникам 500 000 долларов в качестве награды. Хакеры утверждали, что не ответили на предложение, но в более позднем сообщении, опубликованном в блокчейне Ethereum, они сказали, что рассматривают возможность принятия вознаграждения в качестве компенсации жертвам взлома.

Согласно сообщениям хакера о блокчейне Ethereum, опубликованным в Твиттере генеральным директором компании Elliptic по расследованию блокчейнов, Томом Робинсоном, хакеры поделятся окончательным ключом, когда «все будут готовы». Хакеры добавили: «Теперь весь проект контролируется огромной толпой [sic], если все будут готовы принять окончательный ключ, я буду освобожден от того, что не являюсь руководителем».

Хакеры продолжают утверждать, что атаковали Poly Network «для развлечения» и рассматривали все это испытание как «игру». Они написали: «Моя операция продолжалась [после обнаружения уязвимости] не только для развлечения, что было основной причиной, но и из-за проблем с доверием».

Хакеры утверждают, что именно проблемы с доверием замедляют процесс полной передачи украденных активов. Они настаивают на том, что целью атаки было выявить уязвимость в сети, управляющей миллионами долларов, а также обучить и направить мир DeFi по вопросам безопасности.

В сообщении, опубликованном вчера, хакеры отступили от своей прежней позиции отказа от вознаграждения Poly Network и заявили, что хотят принять его для финансирования других хакеров, обнаруживших уязвимости в Poly Network. Они написали: «Я рассматриваю возможность принять награду как премию [sic] для публичных хакеров, если они смогут взломать Poly Network».

Далее они заявили, что у них достаточно средств для продолжения саги, если Poly Network не предоставит вознаграждение.

Между тем, Poly Network объявила сегодня на Immunefi, платформе для вознаграждений за ошибки для проектов DeFi, что запускает собственную программу вознаграждений. Предлагаемая награда составляет 100 000 долларов США за действительный отчет об ошибке, а общий пул составляет 500 000 долларов США.

Компания также выпустила дорожную карту к нормальному состоянию. Poly Network уже исправила уязвимость, использованную во взломе, и в понедельник запустила обновление основной сети. Затем компания стремится восстановить все межсетевые сервисы, восстановить закрытый ключ от хакеров и возобновить полную функциональность.

Продолжая сеанс вопросов и ответов с прошлой недели, хакеры раскрыли некоторые ключи к разгадке их личности. Согласно ответам, хакеры не являются носителями английского языка и были «хакерами высокого профиля в реальном мире», работающими в сфере безопасности.

Злоумышленники также подняли вопросы о том, как службы безопасности помогают исправлять уязвимости, такие как уязвимость, использованная при взломе Poly Network, после атаки, но редко отмечают такие лазейки, чтобы предотвратить такие события. Они добавили, что, хотя общий дизайн Poly Network был хорош, они никогда не могли доверять всей команде, стоящей за ним.

Похоже, что злоумышленники еще далеки от взлома. В сеансе вопросов и ответов они написали: «У этой истории счастливый конец, но, возможно, это не конец моего дикого приключения».