bug bounty github pagou us$ 1 milhão em 2019

Roubo protegeu US$ 611 milhões da Poly Network

Hacker roubou, protegeu e já devolveu parte do dinheiro; Poly Network ofereceu a ele recompensa de US$ 500 mil
Da Redação
13/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Poly Network, plataforma de interoperabilidade de blockchain, anunciou que pretende pagar US$ 500 mil como recompensa ao hacker que na última terça-feira roubou de lá o equivalente a US$ 611 milhões em criptomoedas, explorando uma vulnerabilidade desconhecida pela empresa. Será a maior recompensa que já foi paga a um pesquisador de vulnerabilidades – mas o hacker já anunciou que não quer receber: segundo ele, o roubo foi uma forma de ao mesmo tempo proteger os valores e alertar a empresa antes que outra pessoa descobrisse a brecha.

Menos de 24 horas depois do roubo ele começou a devolver o dinheiro. Já foram devolvidos US$ 340 milhões, há 33 congelados pela Tether e o restante está numa conta conjunta do hacker e da Poly Network.

Veja isso
US$ 600 milhões no maior roubo de criptomoedas
Criptografia do Prometheus é quebrada por app de Taiwan

Chamado por enquanto de “Mr. White Hat” pela Poly Network, ele conversou com Tom Robinson, fundador da Elliptic, uma empresa especializada em segurança de transaçẽos com criptomoedas. Por meio de mensagens embutidas em transações de Ethereum, esta é a maior parte da conversa:

P: Por que o hacking?

R: Por farra 🙂

P: E por que a Poly Network?

R: O hacking de cross chain está quente!

P: Por que transferir tokens?

R: Para manter a segurança. Ao notar o bug, tive um sentimento misto. Pergunte-se o que fazer diante de tanta fortuna. Pedir à equipe de projeto com educação que eles consertassem? Qualquer um poderia ser o traidor de um bilhão! Não posso confiar em ninguém! A única solução que me veio à cabeça foi procurar salvar isso numa _trusted_ account e me mantendo _anônimo_ e _seguro_. Agora todo mundo sente um cheiro de conspiração. Insider? Não eu, mas quem sabe? Eu assumo a resposibilidade de expor a vulnerabilidade antes que qualquer Insider a esconda e explore!

P: Por que tão sofisticado?

R: a Poly Network é um sistema decente. É um dos mais desafiadores ataques que um hacker pode desfrutar. E tive que ser rápido para vencer quaisquer insiders ou hackers, aceitei o desafio como um bônus 🙂

P: Você está exposto?

R: Não. Nunca. Compreendi o risco de me expor mesmo que não faça o mal. Então eu usei e-mail temporário, IP ou _chamado_ fingerprint, que não são rastreáveis. Eu prefiro ficar no anonimato e salvar o mundo.

P: O que realmente aconteceu 30 horas atrás?

Uma longa história. Acredite ou não, fui _forçado_ a entrar nesse jogo. A Poly Network é um sistema sofisticado, eu não consegui construir um ambiente de teste local. Falhei em produzir uma POC no início. No entanto, a ficha caiu pouco antes de eu desistir. Depois de fazer debugging a noite toda, eu montei uma mensagem _simples_ para a rede de ontologia. Eu estava planejando lançar um blitzkrieg legal para pegar as quatro redes: ETH, BSC, Polygon e HECO. No entanto, com a rede HECO deu errado! O relayer não se comporta como os outros, um gatekeeper descartou meu exploiot diretamente, e a chave foi atualizada para alguns parâmetros errados. Arruinou meu plano. Eu deveria ter parado naquele momento, mas decidi de deixar o show continuar! E se eles consertam o bug secretamente sem nenhuma notificação? No entanto, eu não queria causar o pânico real do mundo do cripto. Então eu decidi ignorar moedas vagabundas, com que as pessoas não precisam se preocupar que desçam a zero. Eu peguei tokens importantes (exceto Shib) e não vendi nenhum deles.

P: Então por que vender / trocar os estáveis?

R: fiquei irritado com a equipe da Poly por causa de sua resposta inicial. Eles instaram os outros a me culpar e odiar antes que eu tivesse qualquer chance de responder! Claro que eu sabia que existem moedas descentralizadas falsas, mas não levei a sério, porque não tinha plano de fazer lavagem delas. Enquanto isso, depositando os estáveis eu poderia ganhar algum juro para cobrir o potencial custo, para que eu tenha mais tempo para negociar com a equipe da Poly.

P: Por que a gorjeta de 13.37?

R: Eu elevei a temperatura da comunidade Ethereum. Eu estava ocupado investigando os problemas da Heco e remendo os meus scripts. Achei que problemas de rede me impediam de depositar (eu estava em um proxy sofisticado). Então eu compartilhou minha boa vontade com o cara.

P: Por que pedir Tornado e Dao?

R: Depois de ver tantos hackings, eu sabia que depositar no Tornado era uma decisão sábia, mas desesperada. Foi contra minha intenção original. Sendo o hacker do crowdsourcing, foi uma piada ruim depois de ter encontrado tantos pedintes 🙂

P: Por que devolver?

R: Esse sempre foi o plano! Não estou muito interessado por dinheiro! Sei que dói quando as pessoas são atacadas, mas não devem aprender alguma coisa com esses hacks? Anunciei s decisão de devolver antes da meia-noite, de modo que as pessoas que tiveram fé em mim dormissem bem 😉

P: Por que devolver lentamente?

R: Preciso de tempo para falar com a equipe da Poly. Desculpe, mas é a única maneira que sei provar minha dignidade e esconder minha identidade. E eu preciso de algum descanso.

P: E a equipe poly?

R: já comecei a falar com eles brevemente, os registros estão no Ethereum. Eu posso ou não publicá-los. As dores que eles sofreram são temporárias, mas memoráveis. Gostaria de lhes dar dicas de como proteger suas redes, para que possam ser candidatos a gerenciar o projeto do bilhão no futuro. A Poly Network é um sistema bem projetado e ganhará mais ativos. Eles têm muitos novos seguidores no twitter, certo?

Depois disso, o hacker da Poly Network contou que recebeu a oferta de uma recompensa de US$ 500 mil ao devolver os ativos roubados – mas não vai reivindicar o valor. A mensagem que ele recebeu da Poly Network foi esta:

“Agradecemos o compartilhamento da sua experiência e acreditamos que sua ação constitui um comportamento de White Hat. Mas não podemos tocar nos ativos dos usuários e a Poly Network não tem seu próprio token. Assim, acreditando que sua ação é um comportamento de White Hat, planejamos oferecer a você uma recompensa de US$ 500.000, depois de concluir totalmente o reembolso. Também asseguramos que não responsabilizaremos você por este incidente. Esperamos que você possa devolver todos os tokens assim que possível. Você pode reservar o valor equivalente a US$ 500.000 em quaisquer ativos no endereço do proprietário atual. Vamos compor esta parte dos ativos para os usuários da Poly Network. Sua contribuição é muito útil para nós. Mais uma vez, pensamos este comportamento é um comportamento de White Hat, portanto estes 500.000 dólares americanos serão vistos como uma recompensa totalmente legal. Nós também garantiremos que você não será responsabilizado por este incidente, e vamos expressar publicamente nossa gratidão a você.

A Tom Robinson o hacker disse: “A Poly fez mesmo essa oferta mas eu não respondi. Em vez disso, vou enviar todo o dinheiro deles de volta“.

Durante o tempo em que esteve de posse dos valores o hacker pediu doações às pessoas que acreditassem na sua intenção de devolver o dinheiro. O endereço que ele deu recebeu US$ 4.400 segundo Robinson.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest