Um hacker que roubou pouco mais de US$ 600 milhões (R$ 3,15 bilhões) em criptomoedas devolveu a maior parte dos ativos roubados.
Na quinta-feira, a Poly Network confirmou no Twitter que US$ 268 milhões (R$ 1,4 bilhão) em tokens Ether já foram recuperados.
Nas últimas 24 horas, o hacker devolveu à empresa US$ 342 milhões relativos a três criptomoedas.
O indivíduo também postou várias páginas de anotações no blockchain (cadeia de blocos digitais com o código criptografado que armazenam algum tipo de dado), revelando por que hackearam a empresa e as ofertas que a Poly Network fez a eles.
Em uma reviravolta que está preocupando alguns especialistas em segurança cibernética, o hacker afirma que a empresa ofereceu US$ 500 mil (R$ 2,6 milhões) se devolvessem os ativos roubados, bem como uma promessa de imunidade no processo criminal que move contra ele.
No entanto, o hacker diz que não aceitou a oferta.
Na quinta-feira à noite, a Poly Network postou uma atualização informando que a maioria dos ativos restantes em posse do hacker havia sido transferida para uma carteira digital controlada pelo hacker e pela empresa.
Mas parte do dinheiro ainda está pendente.
“O hacker ainda detém US$ 33,4 milhões em Tether [token baseado em uma plataforma de tecnologia blockchain] roubados — porque foi congelado pelo próprio Tether”, disse Tom Robinson, cofundador da Elliptic, uma empresa de análise e compliance de blockchain com sede em Londres.
Ele acrescentou que pode ser visto no blockchain que “alguns milhares de dólares de vários outros tokens” estavam sendo mantidos pelo hacker.
Não ficou claro, no entanto, se eles eram parte dos ativos roubados ou doações que o hacker pediu que as pessoas enviassem na quinta-feira, para compensar quaisquer usuários que possam ter perdido dinheiro com o ataque virtual.
Outro dinheiro pendente também inclui uma gratificação de 13,37 Ether (cerca de US$ 40 mil ou R$ 210 mil), que o hacker enviou a um usuário que o avisou que os tokens Tether foram congelados por seu desenvolvedor.
O ataque virtual ocorreu na terça-feira, quando o site de blockchain Poly Network disse que os hackers exploraram uma vulnerabilidade em seu sistema e roubaram milhares de tokens digitais como o Ether.
Em uma carta postada no Twitter, a empresa exortou os ladrões a “estabelecer comunicação e devolver os ativos hackeados”.
O hacker anônimo alegou que executou o roubo por diversão e para encorajar a empresa de troca de criptomoedas Poly Networks a melhorar sua segurança.
Oferta de imunidade
A Poly Network disse no Twitter que ainda estava esperando o processo de reembolso ser concluído, mas que está colaborando com o hacker, a quem a empresa chamou de “Mr White Hat” (Senhor Chapéu Branco).
Os hackers de chapéu branco são pesquisadores de segurança ética que usam suas habilidades para ajudar as organizações a encontrar falhas de segurança.
A Poly Network se referiu ao hacker dessa forma em várias postagens públicas. O hacker alega que recebeu uma mensagem da empresa pelo blockchain, dizendo: “Como acreditamos que sua ação é um comportamento de chapéu branco, planejamos oferecer a você uma recompensa de US$ 500 mil”.
Segundo ele, a empresa acrescentou: “Garantimos que você não será responsabilizado por este incidente.”
A suposta ação irritou algumas pessoas no mundo da segurança, que temem que isso possa abrir um precedente para hackers encobrirem seus crimes.
Katie Paxton-Fear, uma hacker de chapéu branco e professora na Universidade Metropolitana de Manchester, no Reino Unido, diz que “descrever esta operação como chapéu branco é realmente decepcionante”.
Paxton-Fear encontrou mais de 30 vulnerabilidades em organizações que vão do Departamento de Defesa dos Estados Unidos à Verizon Media.
“O hackeamento de chapéu branco envolve ter um escopo, não tocar em alguns sistemas, trabalhar com a equipe, escrever relatórios profissionais detalhando nossas descobertas, não ir além do necessário para demonstrar o risco”, disse ela.
“Nossa abordagem é ‘primeiro, não cause danos’, potencialmente verificando se as correções foram implementadas e não colocando nenhum dado do usuário em risco.”
Charlie Steele, parceiro da consultoria internacional Forensic Risk Alliance e ex-funcionário do Departamento de Justiça e do FBI também está preocupado com a suposta oferta da Poly Network.
“As empresas privadas não têm autoridade para prometer imunidade contra processos criminais”, disse ele à BBC.
“Neste caso em que um hacker roubou os US$ 600 milhões ‘por diversão’ e depois devolveu a maior parte, tudo permaneceu anônimo, mas não é provável que isso diminua as preocupações dos reguladores sobre a variedade de riscos representados por criptomoedas.”
Via BBC News