14 de setembro de 2021

Um dos maiores roubos de criptomoeda já registrados vira negociação diplomática, com hacker devolvendo 1/3 do valor roubado. Mas as intenções eram boas mesmo?

Explorando uma vulnerabilidade para roubar 600 milhões de dólares de uma plataforma de financiamento de blockchain, um hacker ganhou as manchetes por arquitetar o que poderia ser um dos maiores roubos de criptomoeda já registrados até hoje.

As vítimas foram os fabricantes da Poly Network, uma “DeFi” – plataforma de finanças descentralizada – que funciona por meio de blockchains. No começo de agosto de 2021, representantes da empresa anunciaram que um invasor roubou cerca de 600 milhões de dólares em cripto, e apelaram ao criminosos ara que “devolvesse os ativos hackeados”.

“A quantia de dinheiro que você interpelou é a maior da história. A polícia de qualquer país vai considerar este um grande crime econômico e você será perseguido pelas autoridades nacionais e internacionais. Seria muito imprudente você fazer quaisquer transações futuras com essa quantia. O dinheiro roubado pertence a dezenas de milhares de membros da comunidade criptográfica. Você deve falar conosco para encontrar uma solução, disse a equipe da Poly Network, em comunicado.

A empresa oferece serviços em blockchain para Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqa, Binance Smart Chain, Switcheo e Huobi ECO Chain, e listou três endereços para os quais os ativos foram transferidos.

Pouco depois do roubo e do comunicado emitido pelos profissionais da empresa, uma pequena quantia dos fundos foi devolvida. A Poly Network postou no Twitter uma mensagem incentivando que o hacker “fizesse a coisa certa” e disse que recebeu mais de 1 milhão de dólares de volta.

Um pouco depois, a empresa postou novamente dizendo: “Até agora, um valor total de $ 4.772.297.675 de ativos foram devolvidos pelo hacker”.

O invasor roubou cerca de $267 milhões em Ether, $252 milhões em Binance e $ 85 milhões em tokens USDC.

Mas o ataque sofreu ainda mais reviravoltas…

No dia 11 de agosto, uma nova notícia anunciou que o hacker “devolveu boa parte do valor roubado”, enviando de volta aproximadamente 260 milhões dos mais de 600 milhões de dólares em criptomoedas.

Esse valor corresponde a $1 milhão em Polygon e $3,3 milhões em Ethereum. APoly Network observou que ainda faltam $ 269 milhões em Ethereum, bem como $ 84 milhões em Polygon, que precisam ser devolvidos. A empresa atribuiu o ataque a uma vulnerabilidade explorada em transações contratuais.

Mais do que isso, a empresa agora alega que a exploração “não foi causada por um único criminoso”.

Além de devolver o dinheiro, o hacker incluiu, em uma comunicação atrelada às devolutivas, uma sessão de perguntas e respostas dividida em três partes, onde explicou alguns de seus motivos.

Em uma postagem compartilhada, o invasor disse que encontrou um bug no sistema da Poly Network e contemplou o que fazer a partir daí, eventualmente decidindo roubar o dinheiro disponível e transferi-lo para outra conta. O indivíduo – que pode estar respondendo por um grupo de criminosos – tentou pintar suas ações como altruístas e disse que estava tentando expor a vulnerabilidade antes que ela fosse explorada por “um insider”, isto é, um grupo ou indivíduo mal-intencionado.

O hacker ainda afirma estar completamente protegido porque usaram endereços de e-mail e IPs anônimos.

“Eu não queria causar pânico no mundo da criptografia. Então, optei por ignorar moedas de baixo valor agregado para que as pessoas não precisassem se preocupar com elas. Peguei moedas importantes (exceto a Shib) e não vendi qualquer um dos ativos”, disse o hacker.

Por fim, a declaração ainda diz que o invasor “quer ajudar a Poly Network com sua segurança”, dada a importância da empresa para a indústria de criptomoedas.

“A Poly Network é um sistema bem projetado e conseguirá gerenciar mais ativos”, disse a declaração. “A dor que sofreram é temporária, mas memorável”.

Como medida de contenção, a Poly Network pediu para que em trocas de blockchain e criptográficas afetadas como Binance, Tether, Uniswap, HuobiGlobal, OKEx, Circle Pay e BitGo para colocarem na lista negra quaisquer tokens provenientes desses endereços.

Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?