Circa eine Woche, nachdem ein Hacker Poly Network im wahrscheinlich größten Krytowährungsdiebstahl in der Geschichte des dezentralen Finanzsystems (DeFI) 610 Millionen US-Dollar gestohlen hatte, hat das Unternehmen seinem Angreifer aktuell eine Stelle als Chef-Sicherheitsberater angeboten, berichtet CNBC.
Inzwischen hat der Hacker die vollständige Rückgabe des Geldes versprochen, jedoch bisher nur etwa die Hälfte davon geliefert. Gemäß einer Erklärung von Elliptic vom Freitag hätte der Hacker Vermögenswerte im Wert von 340 Millionen US-Dollar zügig innerhalb von 24 Stunden zurückgegeben. Den Großteil des noch ausstehenden Restbetrages hat er auf eine Wallet übertragen, die gemeinsam von ihm und Poly Network kontrolliert wird. Einen weiteren und letzten Restbetrag von 33,4 Millionen US-Dollar hält der Hacker immer noch an gestohlenem Tether, weil Tether es selbst eingefroren hat.
PolyNetwork reagierte auf das Geldrückgabe-Versprechen mit großem Lob für den Hacker, den es als ethischen Hacker, als Mr White Hat, bezeichnete. Am Dienstag (17. August) bot PolyNetwork Herrn White Hat eine Stelle als Chef-Sicherheitsberater an. Zudem erhielt er die Zusage, von 500.000 US-Dollar im Rahmen eines Bug-Bounty-Programms zu erhalten. Weiterhin sehe das Unternehmen von einer Einleitung strafrechtlicher Konsequenzen ab.
In einer Erklärung des Unternehmens bekundet Poly Network:
Allow Twitter content?
This page contains content provided by Twitter. Your consent is requested before loading the content, as it may use cookies and other technologies. You may want to read Twitter’s privacy policy and cookie policy before accepting.
<blockquote class="twitter-tweet" data-width="500" data-dnt="true"><p lang="en" dir="ltr"><a href="https://twitter.com/hashtag/PolyNetwork?src=hash&ref_src=twsrc%5Etfw">#PolyNetwork</a> has no intention of holding <a href="https://twitter.com/hashtag/mrwhitehat?src=hash&ref_src=twsrc%5Etfw">#mrwhitehat</a> legally responsible and cordially invites him to be our Chief Security Advisor. $500,000 bounty is on the way. Whatever <a href="https://twitter.com/hashtag/mrwhitehat?src=hash&ref_src=twsrc%5Etfw">#mrwhitehat</a> chooses to do with the bounty in the end, we have no objections. <a href="https://t.co/4IaZvyWRGz">https://t.co/4IaZvyWRGz</a></p>— Poly Network (@PolyNetwork2) <a href="https://twitter.com/PolyNetwork2/status/1427574236483231749?ref_src=twsrc%5Etfw">August 17, 2021</a></blockquote><script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
„Um unseren Dank auszusprechen und Herrn White Hat zu ermutigen, gemeinsam mit Poly Network weiterhin zum Fortschritt der Sicherheit in der Blockchain-Welt beizutragen, laden wir Herrn White Hat herzlich ein, Chief Security Adviser von Poly Network zu werden. Auch hier ist es wichtig zu wiederholen, dass Poly Network nicht die Absicht hat, Mr. White Hat rechtlich zur Verantwortung zu ziehen, da wir zuversichtlich sind, dass Mr. White Hat unverzüglich die volle Kontrolle über die Vermögenswerte an PolyNetwork und seine Benutzer zurückgibt.Poly Network hat zuvor versprochen, Mr. White Hat mit einem Bug-Bounty in Höhe von 500.000 US-Dollar zu belohnen, aber er hat es nicht akzeptiert. Stattdessen erklärte er, es der technischen Community anzubieten, die Beiträge zur Blockchain-Sicherheit geleistet hat.Wir respektieren die Gedanken von Mr. White Hat voll und ganz. Und um unseren Dank auszudrücken, haben wir auch weiterhin die Absicht, dieses Kopfgeld von 500.000 US-Dollar an eine von Mr. White Hat genehmigte Wallet-Adresse überweisen. Er kann dieses Geld dann völlig nach eigenem Ermessen für die Zwecke der Cybersicherheit oder zur Unterstützung von Projekten und Einzelpersonen verwenden.Wir haben uns ständig bemüht, eine Verständigung mit Mr. White Hat herzustellen und hoffen aufrichtig, dass Mr. White Hat die privaten Schlüssel so schnell wie möglich überträgt, damit wir den Benutzern die volle Kontrolle über die Vermögenswerte frühestens zurückgeben können.“
Private Key immer noch ausstehend
Poly Network hat sich schließlich vom Hacker das Passwort erbeten. Dieses ist auch bekannt als Private Key, dasss zum Abrufen des noch ausstehenden Restbetrages erforderlich ist. Fraglich ist, warum der Hacker den Zugriff auf die letzte Tranche von Vermögenswerten bisher noch verweigert. Lapidar gab der Hacker allerdings bekannt, er werde den Schlüssel bereitstellen, sobald „alle bereit sind“. Poly Network sagte am Dienstag, es hoffe, ein „erhebliches System-Upgrade“ durchführen zu können. Das solle solche Art von Angriffen in Zukunft verhindern. Bevor jedoch noch nicht alle verbleibenden Assets zurückgegeben seien, wäre ein solches Upgrade nicht möglich.
Ist Jobangebot eine taktische Entscheidung?
Sicherheitsforscher der Beratungs- und Marktforschungsfirma Chainalysis Inc. spekulierten, dass die Haltung von PolyNetwork eine taktische Entscheidung sein könnte. Diese solle darauf abzielen, alle ihre Gelder zurückzubekommen, indem sie Mr. White Hat mit Geld, Auszeichnungen und Titeln besänftigen. Gurvais Grigg, Global Public Sector Chief Technology Officer von Chainalysis, gab an:
„Vielleicht impliziert PolyNetwork Vertrauen in den Angreifer, um ihn davon zu überzeugen, das Richtige zu tun und die Gelder so schnell wie möglich zurückzugeben, damit sie mit dem Prozess der Wiederaufnahme ihres Geschäfts beginnen können.Obwohl es noch abzuwarten bleibt, wie sich diese seltsame Geschichte entwickeln wird, kann ich sagen, dass dies kein typisches Verhalten von echten White-Hat-Hackern ist. Die gute Nachricht ist, dass die Blockchain transparent ist und wir zusammen mit der Kryptowährungs-Community die Gelder im Auge haben.“
