從“竊賊”到首席安全顧問,Poly Network與黑客的“相愛相殺”
責編:gltian |2021-08-25 11:29:168月11日,一名黑客利用了合同呼叫之間的漏洞盜取了Poly Network價值6.11億美元的加密貨幣,這被認為是針對數字資產行業的最大盜竊案之一,比近年來針對交易所Coincheck和Mt.Gox的盜竊案還要多。此前,FreeBuf也作了相關報道《黑客從保利網絡竊取價值超過6億美元的加密貨幣》。
8月23日,在黑客歸還了所有盜取的加密貨幣資產之后,此次事件總算是落下了尾聲。除了龐大的被盜金額,該次事件曲折離奇的解決過程更是史無前例。
黑客利用漏洞竊取6.11億美元加密貨幣
Poly Network允許用戶將令牌從一個數字賬簿交換到另一個數字賬簿,而黑客則利用了Poly Network代碼中的一個漏洞,將高達6.11億美元的數字資產轉移到自己的加密錢包中。
事件被曝的當天,Poly Network就發布公告督促黑客歸還其盜取的資產并表示愿意進行洽談來共同解決。
與此同時,區塊鏈安全公司SlowMist聲稱他們已經追蹤到了攻擊者的電子郵件和IP地址,以及設備指紋。
雖不清楚是哪條消息影響了黑客,不過第二天攻擊者就表示他們將歸還所有被盜資產。
不過,歸還的過程并不是那么順利。
Poly Network向黑客發了一封offer
該黑客自稱“Mr White Hat”,并且聲稱自己是一名道德黑客。
在承諾歸還資產后,他確實歸還了一部分加密貨幣。然而,幾天后,這位黑客突然反悔了,他拒絕歸還剩下的2.35億美元加密貨幣。
剩下的加密貨幣被困在一個需要Poly Network和黑客共同提供密碼的賬戶中。該黑客一直拒絕交出密碼,表示要在“所有人都準備好”之后才會提供密碼。
Poly Network為了督促黑客盡快交出密鑰,再次采取“綏靖政策”。這一次,它提出了給該黑客50萬美元的賞金,甚至表示愿意聘請該黑客成為公司的首席安全顧問。
黑客交還所有加密貨幣,獲贈50萬美元獎金
8月23日,黑客向Poly Network交出了該私鑰,釋放了最后的資產。至此,Poly Network收回了所有的加密貨幣資產,并開始啟動資產恢復。公司表示他們會以最快的速度將這些加密貨幣資產的控制權交還用戶。
Poly Network所承諾的獎金,也以160個ETH的形式于8月19日打入了該黑客的公開錢包地址。
不過,黑客對于該筆獎金和之前的工作邀請都沒有作出答復。
8月23日,Poly Network宣布他們開始了全面的資產恢復過程。
在大約兩周的時間里,Poly Network從損失5億多美元到在全世界范圍內聲名鵲起,不僅因為它是迄今為止最大的加密貨幣搶劫案的受害者,而且還因為它追回了所有的資產。
該公司選擇既往不咎,不對黑客采取法律行動,反而提供一封offer以及一筆獎金,此番行動可以說是十分大膽。所幸他們成功了。
不過,該策略是否適用于其他公司則還需要視具體情況而定。
有專家表示,此次黑客之所以同意歸還貨幣,是因為他們很難無痕跡地將這些加密貨幣轉換為自身資產。比起竹籃打水一場空,何不歸還這些棘手的加密貨幣拿取獎金呢?
參考
來源:FreeBuf.COM