El hacker que robó USD 600 millones en tokens de una plataforma de criptomonedas la semana pasada recibió una oferta de trabajo de seguridad de la plataforma el martes.
La mayor parte del dinero ha sido devuelto a Poly Network, pero más de $ 200 millones en activos permanecen bloqueados en una cuenta controlada por el pirata informático, a quien la plataforma de cifrado se refiere como «Sr. Sombrero blanco.»
Como condición para liberar los fondos restantes, el hacker ha pedido mejoras de seguridad en la plataforma Poly Network.
En una publicación en Medium, la red señaló que ha estado en contacto con el Sr. White Hat a diario, manteniendo informado al hacker sobre los esfuerzos continuos de la plataforma para mejorar su seguridad.
“Hemos hecho esfuerzos constantes para establecer un acuerdo con el Sr. White Hat y esperamos genuinamente que el Sr. White Hat transfiera las claves privadas lo antes posible para que podamos devolver el control total de los activos a los usuarios lo antes posible”, dijo el ejecutivo. escribió la compañía.
También le ofreció trabajo al Sr. White Hat.
“[T]Para extender nuestro agradecimiento y animar al Sr. White Hat a que continúe contribuyendo al avance de la seguridad en el mundo de la cadena de bloques junto con Poly Network, invitamos cordialmente al Sr. White Hat a ser el Asesor Jefe de Seguridad de Poly Network”, escribió la compañía.
Tabla de Contenidos
Candidato de trabajo arriesgado
«No contrataría a este tipo», dijo Giacomo Arcaro, un hacker de crecimiento y empresario de criptomonedas con sede en la ciudad de Nueva York.
“Imagínese lo que podría hacer si trabajara para una empresa como esta”, dijo a TechNewsWorld. “Él podría inyectar un troyano de acceso aleatorio en el sistema y piratear a todos los usuarios de Poly Network.
“Deberían contratar a un experto en ciberseguridad, no a un hacker”, agregó.
Erich Kron, defensor de la concientización sobre seguridad en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, señaló que la situación de Poly Network es inusual porque el pirata informático parece estar devolviendo el dinero robado a la plataforma criptográfica de buena fe.
«Sin embargo, al tomar el dinero, y mucho de eso, el hacker fue mucho más allá de lo que podría llamarse ‘piratería ética'», dijo a TechNewsWorld.
“Sus acciones podrían hacer que una persona cuestione su estado de ánimo y brújula moral, incluso con la devolución del dinero, por lo que traerlos como empleados sería un riesgo significativo”, continuó.
“La oferta de usarlos como asesor principal de seguridad puede ser solo un rol contratado, en lugar de una verdadera relación de empleado”, dijo. «Al igual que las fuerzas del orden utilizan a delincuentes conocidos como informantes, el Sr. White Hat podría ser una fuente de información y conocimientos valiosos, incluso si se mantienen a distancia».
“Antes de confiar en ellos como empleados, ambas partes deberían confiar el uno en el otro y comprender su motivación”, agregó.
Cuestion de confianza
Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, una empresa de pruebas de penetración y consultoría de seguridad cibernética en Scottsdale, Arizona, sostuvo que la oferta de Poly Network al Sr. White Hat refleja la cantidad de influencia que tiene la empresa en su situación actual.
“Poly Network se da cuenta de que el atacante los tiene sobre un barril y está haciendo todo lo posible para jugar limpio con la esperanza de recuperar los fondos robados. Tienen 200 millones de razones para hacerlo”, dijo a TechNewsWorld.
“Realmente depende de los objetivos de Poly Network aquí”, dijo. «Si la motivación es jugar lo mejor posible con la esperanza de que se devuelvan los fondos robados, entonces sí, esto es muy sabio».
“Si realmente tienen la intención de que el atacante tenga una voz significativa en sus futuros esfuerzos de seguridad, probablemente sea imprudente”, observó.
“En algún nivel, la seguridad se reduce a la confianza”, continuó, “y una persona que ha demostrado la voluntad de transferir fondos que no le pertenecen en lugar de informar proactivamente un problema de seguridad definitivamente no se ha ganado esa confianza”.
«Incluso si hubiera sido necesaria una transferencia de prueba de concepto real para demostrar el problema, probablemente no habría requerido una transferencia tan significativa, ni habría impedido que el atacante devolviera los fondos de inmediato una vez que se hubiera probado el problema». añadió.
Oferta de recompensa por errores
Además de un trabajo, Poly Network ha ofrecido al Sr. White Hat una recompensa de $500,000 por exponer la falla en su software que permitió que $600 millones se desangraran de sus arcas.
El hacker inicialmente se negó a aceptar la recompensa, pero luego declaró que el dinero debería entregarse a la comunidad técnica que ha hecho contribuciones a la seguridad de la cadena de bloques. Blockchain es la tecnología que es la piedra angular de la seguridad de las criptomonedas.
“Respetamos plenamente los pensamientos del Sr. White Hat y, para expresar nuestra gratitud, transferiremos esta recompensa de $ 500,000 a una dirección de billetera aprobada por el Sr. White Hat para que la use a su discreción para la causa de la seguridad cibernética y apoyar más proyectos e individuos”, escribió la compañía.
“Lo que sea que el Sr. White Hat elija hacer con la recompensa al final, no tenemos objeciones”, agregó.
La compañía también reiteró en su artículo de Medium que no tenía intención de responsabilizar legalmente al Sr. White Hat por sus acciones, ya que confía en que devolverá el control total de todos los activos a Poly Network.
Gratitud dudosa
“Creo que Poly Network intenta motivar al atacante a hacer lo correcto y devolver los fondos en lugar de una gratitud honesta”, observó Clements.
“Las recompensas por errores en general son una herramienta maravillosa para que las organizaciones la utilicen como parte de un programa completo de seguridad de la información, pero generalmente se rigen por reglas estrictas de compromiso entre la empresa que aloja la recompensa por errores y los investigadores de seguridad que intentan encontrar fallas”, agregó.
Kron también cuestionó el pago de una recompensa por parte de Poly Network.
“Al robar el dinero, el hacker cruzó la línea y cometió un acto delictivo, incluso si devuelven los fondos”, dijo.
“Las recompensas por errores son cada vez más comunes y son herramientas muy efectivas para que las organizaciones mantengan su seguridad probada, pero generalmente están diseñadas de tal manera que brindan pagos sin que el investigador de seguridad realmente cause daños o robe nada. En otras palabras, mantienen las cosas legales”, explicó.
El color del encabezamiento del Sr. White Hat fue cuestionado por Quentin Rhoads, director de servicios profesionales de TeamARES en CriticalStart, una empresa de servicios de respuesta y detección administrada y consultoría de seguridad cibernética en Plano, Texas.
«Parece que el pirata informático descubrió que no podía lavar el dinero que robó porque Poly Network le dijo a varios sitios de blockchain que bloquearan las transacciones que contenían las direcciones robadas», dijo a TechNewsWorld.
“Debido a que no podía lavar el dinero, cambió su postura y dijo que robó el dinero para mejorar el mundo de las criptomonedas”, continuó.
«Fue un caso de que no puedo obtener mi dinero, así que voy a tratar de sacar algo de esto», dijo, «y Poly Networks lo ayudó diciendo: ‘Si devuelves el dinero, nosotros Te daré algo de dinero y lo reclamaré como recompensa’”.