Хакеру, укравшему на прошлой неделе токены на 600 миллионов долларов с криптовалютной платформы, платформа предложила во вторник работу по обеспечению безопасности.
Большая часть денег была возвращена в Poly Network, но активы на сумму более 200 миллионов долларов остаются заблокированными в учетной записи, контролируемой хакером, которого криптоплатформа называет «мистером». Белая шляпа ».
В качестве условия высвобождения оставшихся средств хакер призвал улучшить безопасность платформы Poly Network.
В сообщении на Medium сеть отметила, что ежедневно поддерживает связь с г-ном Уайт-Хэтом, информируя хакера о продолжающихся усилиях платформы по повышению безопасности.
«Мы прилагаем постоянные усилия для достижения взаимопонимания с г-ном Уайт Хэтом и искренне надеемся, что г-н Уайт Хэт передаст закрытые ключи как можно скорее, чтобы мы могли вернуть полный контроль над активами обратно пользователям как можно скорее. », — написали в компании.
Он также предложил мистеру Уайт Хэту работу.
«[T] Чтобы выразить нашу благодарность и побудить г-на Уайт Хэта продолжать вносить свой вклад в продвижение безопасности в мире блокчейнов вместе с Poly Network, мы сердечно приглашаем г-на Уайт Хэта стать главным советником по безопасности Poly Network», компания написала.
Содержание статьи
Кандидат на рискованную работу
«Я бы не нанял этого парня», — сказал Джакомо Аркаро, хакер роста и криптопредприниматель из Нью-Йорка.
«Представьте, что он мог бы сделать, если бы работал в такой компании», — сказал он TechNewsWorld. «Он мог внедрить в систему трояна с произвольным доступом и взломать всех пользователей Poly Network.
«Им следует нанять эксперта по кибербезопасности, а не хакера», — добавил он.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида, отметил, что ситуация с Poly Network необычна, поскольку хакер, похоже, добросовестно возвращает украденные деньги криптоплатформе.
«Однако, взяв деньги, и так много их при этом, хакер вышел далеко за рамки того, что можно было бы назвать» этичный взлом », — сказал он TechNewsWorld.
«Их действия могут заставить человека усомниться в своем душевном состоянии и моральном компасе, даже с возвратом денег, поэтому привлечение их в качестве наемного работника было бы значительным риском», — продолжил он.
«Предложение использовать их в качестве главного советника по безопасности может быть только контрактной ролью, а не настоящими отношениями с сотрудниками», — сказал он. «Подобно тому, как правоохранительные органы используют известных преступников в качестве информаторов, г-н Уайт Хэт может быть источником ценной информации и понимания, даже если они держатся на расстоянии вытянутой руки».
«Прежде чем доверять им как сотруднику, обе стороны должны будут доверять друг другу и понимать свои мотивы », — добавил он.
Matter of Trust
Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, консалтинговой компании по вопросам кибербезопасности и тестирования на проникновение в Скоттсдейле, штат Аризона, поддержал предложение Poly Network г-ну Уайт-Хэту, которое отражает степень влияния компания находится в нынешнем затруднительном положении.
«Poly Network понимает, что злоумышленник держит их в руках, и делает все возможное, чтобы вести себя хорошо, в надежде вернуть украденные средства. У них есть 200 миллионов причин для этого », — сказал он TechNewsWorld.
«Это действительно зависит от целей Poly Network», — сказал он. «Если мотивация состоит в том, чтобы сыграть как можно лучше в надежде, что украденные средства будут возвращены, тогда да, это очень мудро».
«Если они действительно хотят, чтобы злоумышленник мог сказать свое слово в будущем. усилия по обеспечению безопасности, это, вероятно, неразумно », — заметил он.
«На определенном уровне безопасность сводится к доверию, — продолжил он, — и человек, который продемонстрировал готовность переводить средства, которые ему не принадлежат, вместо того, чтобы заранее сообщать о проблеме безопасности, определенно не заслужил этого. доверие ».
« Даже если бы для демонстрации проблемы потребовалось бы фактическое доказательство передачи концепции, это, вероятно, не потребовало бы такой значительной передачи и не помешало бы злоумышленнику немедленно вернуть средств, как только проблема будет доказана », — добавил он.
Bug Bounty Offer
В дополнение к работе, Poly Network предложила мистеру Уайту Хэту вознаграждение в размере 500 000 долларов за выявление бреши в ее программном обеспечении, из-за которой 600 миллионов долларов вышли из ее казны.
Хакер сначала отказался принять награду, но позже заявил, что деньги должны быть переданы техническому сообществу, которое внесло свой вклад в безопасность блокчейна. Блокчейн — это технология, лежащая в основе безопасности криптовалюты.
«Мы полностью уважаем мысли г-на Уайт-Хэта и, чтобы выразить нашу признательность, мы все равно переведем эту награду в размере 500 000 долларов на адрес кошелька, одобренный г-ном Уайт-Хэтом, чтобы он мог использовать ее по своему усмотрению в целях кибербезопасности. и поддержка большего числа проектов и отдельных лиц », — написали в компании.
«Независимо от того, что г-н Уайт Хэт решит сделать с наградой в конце концов, у нас нет возражений», — добавил он.
Компания также подтвердила в своей статье Medium, что не намерена привлекать г-на Уайт Хэта к юридической ответственности за его действия, поскольку уверена, что он вернет полный контроль над всеми активами Poly Network.
Сомнительная благодарность
«Я думаю, что это Poly Network, пытающаяся мотивировать злоумышленника поступить правильно и вернуть средства, а не искренняя благодарность», — заметил Клементс.
«Bug bounties в целом — замечательный инструмент для организаций, который может использовать их как часть полной программы информационной безопасности, но обычно регулируются строгими правилами взаимодействия между компанией, принимающей bug bounty, и исследователями безопасности, пытающимися найти недостатки», — добавил он.
Крон также поставил под сомнение выплату вознаграждения Poly Network.
«Фактически украдив деньги, хакер перешел черту преступления, даже если они вернут деньги», — сказал он.
«Награды за ошибки становятся все более распространенными и являются очень эффективными инструментами для организаций, чтобы проверять свою безопасность, но они обычно разрабатываются таким образом, чтобы обеспечивать выплаты без фактического нанесения ущерба или кражи исследователем безопасности. Другими словами, они соблюдают закон », — пояснил он.
Цвет шапки г-на Уайт-Хэта был задан под сомнение Квентин Роадс, директор по профессиональным услугам TeamARES в CriticalStart, консалтинговой и управляемой компании по предоставлению услуг обнаружения и реагирования в области кибербезопасности в Плано, штат Техас.
«Похоже, хакер обнаружил, что не может отмыть украденные деньги, потому что Poly Network приказала нескольким сайтам блокчейнов блокировать транзакции, содержащие украденные адреса», — сказал он TechNewsWorld.
«Поскольку он не мог отмыть деньги, он изменил свою позицию и сказал, что украл деньги для улучшения криптовалютного мира», — продолжил он.
«Это был случай, когда я не могу получить свои деньги, поэтому я попытаюсь что-то из этого получить», — сказал он, — «и Poly Networks помог ему, сказав:« Если вы дадите деньги назад, мы дадим вам немного денег и потребуем их в качестве награды ».
