La plateforme de cryptographie demande à un pirate informatique de devenir conseiller en sécurité
Le logo Poly Network affiché sur un écran de téléphone avec une représentation physique de certaines crypto-monnaies.
Jakub Porzycki | NurPhoto via Getty Images
La plate-forme de crypto-monnaie ciblée dans un vol massif invite maintenant le pirate informatique derrière elle à devenir un conseiller de l’entreprise et promet une récompense de 500 000 $ pour la restauration des fonds des utilisateurs.
Poly Network, un projet dit de finance décentralisée ou « DeFi », a été touché par une attaque majeure la semaine dernière qui a vu le ou les pirates informatiques s’enfuir avec plus de 600 millions de dollars de jetons.
Poly Network permet aux utilisateurs d’échanger des jetons d’un grand livre numérique à un autre. Quelqu’un a exploité une faille dans le code de Poly Network qui lui a permis de transférer les actifs vers ses propres portefeuilles cryptographiques.
On pense qu’il s’agit du plus grand vol de crypto de tous les temps, dépassant les 534,8 millions de dollars de pièces numériques volées à l’échange japonais Coincheck lors d’une attaque de 2018 et les 450 millions de dollars estimés de bitcoins qui ont disparu de l’échange basé à Tokyo Mt. Gox en 2014 .
Dans le cas de Poly Network, le pirate informatique a pris la mesure inhabituelle de restituer la majeure partie de l’argent volé. Tout sauf 33 millions de dollars de la crypto a maintenant été restitué.
Cependant, plus de 200 millions de dollars des fonds sont actuellement bloqués dans un compte qui nécessite des mots de passe de Poly Network et du pirate informatique pour y accéder.
Poly Network a supplié le pirate informatique, qu’il appelle « M. White Hat », de fournir le mot de passe – connu sous le nom de « clé privée » – nécessaire pour récupérer l’argent.
« Mr. White Hat » est une référence aux pirates éthiques qui recherchent des vulnérabilités dans les systèmes des organisations qui pourraient les exposer à des attaques. Les chercheurs en sécurité ont remis en question l’étiquetage de l’attaquant de Poly Network comme un pirate informatique.
On ne sait pas pourquoi le pirate informatique retient l’accès à la dernière tranche d’actifs. Une personne anonyme prétendant être le pirate informatique a simplement déclaré qu’elle fournirait la clé une fois que « tout le monde sera prêt ».
La semaine dernière, il a été révélé que Poly Network avait offert un « bug bounty » de 500 000 $ pour renvoyer tout l’argent. De telles primes sont généralement récompensées aux personnes qui signalent des bogues pour aider les entreprises à trouver et à résoudre les défauts avant qu’ils ne soient divulgués au grand public.
Le pirate a d’abord refusé l’offre de prime. Cependant, dans un message intégré dans une transaction de monnaie numérique lundi, le pirate informatique a déclaré: « J’envisage de prendre la prime comme bonus pour les pirates publics s’ils peuvent pirater le réseau Poly ».
Poly Network a déclaré mardi qu’il espérait mettre en œuvre une « mise à niveau importante du système » pour empêcher qu’une telle attaque ne se reproduise à l’avenir, mais qu’il ne pourrait pas le faire tant que tous les actifs restants ne seraient pas restitués.
Le groupe a déclaré que sa promesse de récompenser « M. White Hat » avec une prime de 500 000 $ tient toujours, et a même invité le pirate informatique à devenir son « conseiller en chef en matière de sécurité ».
« Pour exprimer nos remerciements et encourager M. White Hat à continuer de contribuer à l’avancement de la sécurité dans le monde de la blockchain avec Poly Network, nous invitons cordialement M. White Hat à être le conseiller en chef de la sécurité de Poly Network », a déclaré la société dans un communiqué. .
« Poly Network avait précédemment promis de récompenser M. White Hat avec une prime de bogue de 500 000 $, mais il ne l’a pas accepté et a déclaré publiquement qu’il envisageait de l’offrir à la communauté technique qui a contribué à la sécurité de la blockchain », a ajouté Poly Network.
« Nous respectons pleinement les pensées de M. White Hat, et pour exprimer notre gratitude, nous transférerons toujours cette prime de 500 000 $ à une adresse de portefeuille approuvée par M. White Hat pour qu’il puisse l’utiliser à sa propre discrétion pour la cause de la cybersécurité et soutenir plus projets et individus. »
Poly Network a déclaré qu’il « n’avait aucune intention de tenir M. White Hat légalement responsable » du piratage.