Крупнейший взлом децентрализованного финансового (DeFi) протокола взаимодействия Poly Network, в ходе которого было украдено около 600 миллионов долларов США, еще не завершен, так как злоумышленник не предоставил окончательный ключ кошелька с мультиподписью, заявив, что он вернет его, “когда все будут готовы”, – однако хакеру предложили значимое место в команде.
Источник: Adobe Stock / Grenar
Команда Poly Network заявила, что завершила вторую фазу «обновление основной сети» и поддерживает постоянную связь с хакером. Команда, разрабатывавшая протокол, предложила нанять «Мистер Уайтхэта» на должность главного советника по безопасности проекта.
«Чтобы выразить нашу благодарность и призвать г-на Уайтхэта продолжать вносить свой вклад в продвижение безопасности в мире блокчейнов вместе с Poly Network, мы сердечно приглашаем его стать главным советником по безопасности Poly Network», – заявила команда, повторяя заявление о том, что злоумышленник сможет использовать вознаграждение в размере 500 000 долларов США по своему усмотрению без каких-либо юридических последствий.
После отсутствия ответа на выходных злоумышленник продолжил оставлять сообщения и отвечать на вопросы, встроенные в транзакции эфириума.
Примечательно, что после первоначального отказа от награды в размере 500 000 долларов США злоумышленник, похоже, передумал и теперь рассматривает возможность принять деньги от Poly Network в качестве награды для других публичных хакеров, если они смогут взломать сеть.
По собственным словам хакера:
«ДЕНЬГИ НИЧЕГО НЕ ЗНАЧАТ ДЛЯ МЕНЯ, НЕКОТОРЫМ ЛЮДЯМ ПЛАТЯТ ЗА ВЗЛОМ, Я ЛУЧШЕ БУДУ ПЛАТИТЬ ЗА УДОВОЛЬСТВИЕ. Я ДУМАЮ ПРИНЯТЬ НАГРАДЫ В КАЧЕСТВЕ БОНУСА ДЛЯ ПУБЛИЧНЫХ ХАКЕРОВ, ЕСЛИ ОНИ МОГУТ ВЗЛОМАТЬ СЕТЬ POLY. (ОНИ МОГУТ УДВОИТЬ ВЫИГРЫШ, ЕСЛИ ИМ КАЖЕТСЯ, ЧТО ЭТОТ ПЛАН НЕУДОБЕН)».
Тон общения, похоже, изменился на более требовательный, поскольку злоумышленник заявил, что вознаграждение Poly Network «ненастоящее», и в случае, если хакер не получит его, у них есть достаточный бюджет, чтобы «шоу продолжалось», говоря:
«ЕСЛИ POLY НЕ ПРЕДОСТАВИТ ВООБРАЖАЕМУЮ СУММУ, КАК ВСЕ ОЖИДАЮТ, У МЕНЯ ДОСТАТОЧНО ДЕНЕГ, ЧТОБЫ ПРОДОЛЖИТЬ ШОУ. ПРОСТО НЕКОТОРЫЕ ЗАБАВНЫЕ МЫСЛИ, НО Я, ВЕРОЯТНО, МОГУ ИХ ОСУЩЕСТВИТЬ. ЕСЛИ ТЫ ПО-ПРЕЖНЕМУ НИЧЕГО НЕ ПОНЯЛ, СПРОСИ У БОГАТЕНЬКИХ ДРУЗЕЙ, ЗАЧЕМ НУЖНЫ ДЕНЬГИ?»
Позже добавив:
“КАК ВЫ ДУМАЕТЕ, КТО УПРАВЛЯЕТ ИГРОЙ?”
В ответ на сообщения команда Poly Network запустила отдельную программу вознаграждения за нахождение ошибки в размере 500 000 долларов США в партнерстве с Immunefi – платформой для вознаграждений за поиск уязвимости в смарт-контрактах.
В объявлении говорится, что успешное раскрытие критической уязвимости оценивается в 100 000 долларов США, а общий пул вознаграждений составляет полмиллиона долларов. Кроме того, Poly Network выпустила дорожную карту безопасности, чтобы помочь «восстановить доверие пользователей» к протоколу.
«С целью обеспечения полного, безопасного и плавного восстановления активов мы хотели бы вкратце поделиться планом Poly Network по возобновлению операций и полному восстановлению пользовательских активов на следующих этапах», – написала команда.
В пиксельное время злоумышленник отправил почти все полученные средства на адрес с мультиподписью, созданный командой Poly Network, за исключением 33,2 млн USDT замороженных сетью Tether.
Тем не менее, они еще не предоставили свой ключ, необходимый для завершения возврата средств. В сообщении хакеры заявили, что доверяют некоторому коду Poly Network, но не всей команде Poly, добавив, что они уверены в желании и способности команды восстановить и защитить проект, который они назвали «надежной системой».
«Я ПЕРЕЖИВАЮ ТОЛЬКО О ТОМ, ЧТО ОСНОВНАЯ ЧАСТЬ СЕТИ POLY CHAIN НЕ ОЧЕНЬ ДЕЦЕНТРАЛИЗОВАНА, И ЗДЕСЬ Я НИЧЕМ НЕ МОГУ ПОМОЧЬ. ВОЗМОЖНО, Я ОШИБАЮСЬ», – сказал хакер.
Они также выразили удивление по поводу того, что команда Poly Network назвала себя «профессиональными переговорщиками» и заявили, что они «предоставят окончательный ключ, когда все будут готовы», заключив, что:
«Я МОГУ ВЫПУСТИТЬ ЕГО РАНЬШЕ, ЕСЛИ СООБЩЕСТВО ВСЕ ПОНИМАЕТ».