Хакеру, который на прошлой неделе украл 600 миллионов долларов США токенов с криптовалютной платформы, платформа предложила во вторник работу по обеспечению безопасности.
Большая часть деньги были возвращены в Poly Network, но активы на сумму более 200 миллионов долларов остаются заблокированными на учетной записи, контролируемой хакером, которого криптоплатформа называет «мистером». Белая шляпа ».
В качестве условия высвобождения оставшихся средств хакер призвал улучшить безопасность платформы Poly Network.
В сообщении на Medium сеть отметила, что это было в контакте с г-ном Уайт-Хэтом на ежедневной основе, информируя хакера о продолжающихся усилиях платформы по повышению ее безопасности.
«Мы прилагаем постоянные усилия для достижения взаимопонимания с г-ном Уайт-Хэтом и искренне надеемся что мистер Уайт Хэт передаст закрытые ключи как можно скорее, чтобы мы могли вернуть полный контроль над активами обратно пользователям как можно скорее », — написала компания.
Она также предложила мистеру Уайт Хэту работу .
«[T] Чтобы выразить нашу благодарность и призвать г-на Уайт-Хэта продолжать вносить свой вклад в улучшение безопасности в мире блокчейнов вместе с Poly Network, мы сердечно приглашаем г-на Уайт-Хэта быть главным советником по безопасности в Poly Network », — пишет компания.
[1 9459004] Кандидат на рискованную работу
«Я бы не нанял этого парня», — сказал Джакомо Аркаро, хакер роста и криптопредприниматель из Нью-Йорка.
«Представьте, что он мог бы сделать, если бы он работал в такой компании », — сказал он TechNewsWorld. «Он мог внедрить трояна с произвольным доступом в систему и взломать всех пользователей Poly Network.
« Им следует нанять эксперта по кибербезопасности, а не хакера », — добавил он.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, обучающем центре по вопросам безопасности в Клируотере, штат Флорида, отметил, что ситуация с Poly Network необычна, потому что хакер, похоже, добросовестно возвращает украденные деньги криптоплатформе.
«Однако, взяв деньги, а при этом большую их часть, хакер вышел далеко за рамки того, что можно было бы назвать« этическим взломом », «», — сказал он TechNewsWorld.
«Их действия могут заставить человека усомниться в своем душевном состоянии и моральном компасе, даже с возвратом денег, так что привлечение их в качестве служащего было бы значительным риском», — продолжил он. «Подобно тому, как правоохранительные органы используют известных преступников в качестве информаторов, г-н Белая шляпа может быть источником ценной информации и понимания, даже если они держатся на расстоянии вытянутой руки».
«Прежде чем доверять им как сотруднику, обе стороны должны будут доверять друг другу и понимать свою мотивацию », — добавил он.
Содержание статьи
Matter of Trust
Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, компании, занимающейся консалтингом и тестированием на проникновение в Скоттсдейле, штат Аризона, поддержали предложение Poly Network г-ну Уайт Хэту, отражающее объем рычагов, которые компания имеет в своем нынешнем затруднительном положении.
«Poly Network понимает, что злоумышленник держит их над собой, и делает все возможное. играть честно в надежде вернуть украденные средства. У них есть 200 миллионов причин для этого », — сказал он TechNewsWorld.
« Это действительно зависит от целей Poly Network, — сказал он. «Если мотивация состоит в том, чтобы сыграть как можно лучше в надежде, что украденные средства будут возвращены, тогда да, это очень мудро».
«Если они действительно хотят, чтобы злоумышленник мог сказать свое слово в будущем. — отметил он. они, вместо того, чтобы заранее сообщать о проблеме безопасности, определенно не заслужили это доверие ».
« Даже если бы для демонстрации проблемы потребовалось бы фактическое доказательство передачи концепции, это, вероятно, не потребовало бы такого значительный перевод, и это не помешало бы злоумышленнику немедленно вернуть средства после того, как проблема была доказана », — добавил он.
Предложение Bug Bounty
Помимо работы, Poly Network предложила мистеру Уайту Хэту награду в размере 500 000 долларов за разоблачение недостаток в его программном обеспечении, из-за которого из его казны потекло 600 миллионов долларов.
Хакер сначала отказался принять награду, но позже заявил, что деньги должны быть переданы техническому сообществу, которое внесло свой вклад в безопасность блокчейна. Блокчейн — это технология, которая является краеугольным камнем безопасности криптовалюты.
«Мы полностью уважаем мысли г-на Уайт-Хэта и, чтобы выразить нашу признательность, мы все равно переведем эту награду в размере 500 000 долларов на адрес кошелька, одобренный г-ном Уайт-Хэтом. чтобы он мог использовать его по своему усмотрению в целях кибербезопасности и поддержки большего числа проектов и отдельных лиц », — написала компания.
« Независимо от того, что г-н Уайт Хэт решит сделать с наградой, в конце концов, у нас есть нет возражений », — добавил он.
Компания также повторила в своей статье Medium, что не намерена возлагать на г-на Уайт Хэта юридическую ответственность за его действия, поскольку уверена, что он вернет полный контроль над всеми активами. в Poly Network.
Сомнительная благодарность
«Я думаю, что это Poly Network, пытающаяся мотивировать злоумышленника поступить правильно и вернуть деньги, а не искреннюю благодарность», — заметил Клементс.
«Bug bounti «es в целом являются прекрасным инструментом для использования организациями как часть полной программы информационной безопасности, но обычно регулируются строгими правилами взаимодействия между компанией, проводящей награду за обнаружение ошибок, и исследователями безопасности, пытающимися найти недостатки», — добавил он.
Крон также подверг сомнению выплату вознаграждения со стороны Poly Network.
«Фактически украдив деньги, хакер перешел черту преступления, даже если они вернут деньги», — сказал он.
«Награды за ошибки становятся все более распространенными и являются очень эффективными инструментами для организаций, чтобы проверять свою безопасность, но они, как правило, разработаны таким образом, чтобы обеспечивать выплаты без фактического причинения ущерба или кражи со стороны исследователя безопасности. Другими словами, они следят за соблюдением закона », — пояснил он.
Цвет шапки г-на Уайт-Хэпа был задан под сомнение Квентин Роадс, директор профессиональных услуг TeamARES в CriticalStart, консультанте по кибербезопасности и управляемом обнаружении и реагировании сервисная компания в Плано, штат Техас.
«Похоже, хакер обнаружил, что не может отмыть украденные деньги, потому что Poly Network приказала нескольким блокчейн-сайтам блокировать транзакции, содержащие украденные адреса», — сказал он TechNewsWorld.
«Поскольку он не мог отмыть деньги, он изменил свою позицию и сказал, что украл деньги для улучшения криптовалютного мира», — продолжил он.
«Это был случай Я не могу получить свои деньги, поэтому я попытаюсь что-то из этого получить », — сказал он, — и Poly Networks помог ему, сказав:« Если вы вернете деньги, мы дадим вам немного денег ». и потребуйте его в качестве награды ».
