Таинственный хакер добровольно вернул украденные им $610 млн и получил награду в 12 тыс. раз меньше
Взломавший криптобиржу Poly Network хакер получил награду в размере $500 тыс. (около 38 млн руб.). Он выкрал у ее клиентов более $610 млн, но затем добровольно вернул все деньги. Теперь Poly Network зовет его работать на нее специалистом по безопасности и обещает не сдавать его полиции.
Награда за воровство
Киберпреступник, в начале августа 2021 г. взломавший криптобиржу Poly Network, получил за свое деяние награду в размере $500 тыс., пишет Bleeping Computer. По курсу ЦБ на 24 августа 2021 г. это около 38 млн руб.
Хакеру удалось вывести со счетов клиентов биржи более $610 млн и остаться незамеченным. Его личность до сих пор не рассекречена. Представитель Poly Network назвал случившееся крупнейшим в истории взломом в сфере децентрализованных финансов.
Сам себя хакер величает «Мистер Белая шляпа» (Mr. White Hat) по аналогии с названием так называемых «этичных» или «белых» хакеров. Такие хакеры ищут уязвимости в системах добровольно или за плату, не ставя перед собой цель украсть информацию или деньги.
Mr. White Hat взломал Poly Network, вывел деньги, но затем предложил вернуть их. Свое слово он сдержал. Украденную сумму он возвращал постепенно, поделив ее на несколько неравных частей, и 24 августа 2021 г. биржа получила завершающий транш.
Poly Networks – это децентрализованная финансовая платформа. Она работает с блокчейнами Binance Smart Chain, Ethereum, Polygon, ShibaInu и др., Хакер выкрал около $273 млн в Ethereum, приблизительно $253 млн в Binance Smart Chain и порядка $85 млн в Polygon.
Чего хотел добиться хакер
Со слов человека, назвавшегося Мистером Белая шляпа, он с самого начала хотел всего лишь доказать, что в Poly Network есть уязвимости, эксплуатация которых может привести к потере гигантских сумм. Также он стремился придать огласке информацию о наличии «дыр», чтобы ИТ-специалисты биржи не смогли исправить ее втайне от общественности.
Хакер утверждает, что в его план входила кража денег, но он с самого начала хотел их вернуть, так как «мало заинтересован в них». С этим утверждением склонен не согласиться Том Робинсон (Tom Robinson), сооснователь лондонской аналитической фирмы Elliptic, занимающейся вопросами безопасности блокчейна. С его слов, основной целью киберпреступника были именно финансы, но он быстро смекнул, что не сможет никак реализовать эти активы, поскольку привлек слишком много внимания. Тогда он решил «проявить благородство» и вернуть украденное.
История завершена
Мистер Белая Шляпа вернул Poly Network все деньги, которые украл. Возврат он начал осуществлять 11 августа 2021 г. Первая транзакция включала $260 млн и состояла из $3,3 млн в Ethereum, $256 млн в Binance Smart Chain и $1 млн в Polygon
Днем позже Poly Networks заявили о возвращении в общей сложности $342 млн (с учетом первого транша). На тот момент в распоряжении взломщика оставалось $268 млн в Ethereum.
В последующие дни хакер совершил еще несколько переводов в пользу Poly Network. 24 августа 2021 г. он предоставил бирже доступ к криптокошельку с последними $141 млн на нем.
Отказ от награды
Атаку на Poly Network хакер провел 10 августа 2021 г. Как пишет Reuters, спустя три дня биржа предложила ему вознаграждение в размере все тех же $500 тыс. за найденную уязвимость.
По информации CNBC, хакер поначалу отклонил щедрое предложение Poly Network, хотя та даже поблагодарила его за нахождение уязвимости. Причину отказа он назвал ту же – с его слов, его целью был именно взлом, а не деньги, пусть и в виде вознаграждения.
Что заставило киберпреступника изменить свое решение и все же взять предложенную ему награду, на момент публикации материала оставалось неизвестным. Деньги он попросил перевести в виде 160 Ethereum на указанный им счет.
В знак благодарности и в дополнение к $500 тыс. биржа предложила хакеру стать ее главным советником по безопасности. Компания также заявила, что не намерена привлекать его к юридической ответственности. Взломщик пока не отреагировал на это.
Криптобиржи небезопасны
Клиенты современных криптобирж ежеминутно рискуют потерять все свои деньги в результате взлома. Такие биржи все чаще привлекают внимание хакеров. Например, в августе 2021 г. они ограбили не только Poly Network, но и японскую Liquid.
Взлом Liquid произошел в середине августа 2021 г. Киберпреступники лишили ее клиентов активов на $91 млн. В отличие от Мистера Белая шляпа, возвращать награбленное они не торопятся.
В декабре 2020 г. злоумышленники взломали российскую криптобиржу Livecoin. Как сообщал CNews, из-за взлома курс всех криптовалют на этой бирже начал расти невероятно высокими темпами. Тот же биткоин всего за несколько часов подорожал до $2 млн. Сразу после происшествия владельцы Livecoin объявили о временной приостановке работы биржи.
В январе 2021 г. Livecoin окончательно прекратила свое существование. В день ее закрытия биржи основатели пообещали вернуть пользователям все их средства. Однако здесь был один нюанс – создатели Livecoin сказали, что деньги получат лишь те, кто оформит заявку до 17 марта 2021 г. Те, кто не выполнил это простое условие, лишились своих токенов навсегда.
Также ограбить клиентов криптобирж могут и непосредственные владельцы этих сервисов. CNews писал, что в апреле 2021 г. так поступил основатель турецкой криптовалютной биржи Thodex. В конце апреля 2021 г. он сбежал из страны и увез вместе с собой почти $2 млрд в криптовалюте, принадлежащих пользователям его биржи.
В июне 2021 г. его примером вдохновились создатели африканской криптобиржи Africrypt. Они растворились в воздухе, прихватив биткоины пользователей почти на $2,3 млрд.