Hackerovi ponúkli prácu za 600 miliónov dolárov – odmena za chyby

Hackerovi, ktorý minulý týždeň ukradol tokeny v hodnote 600 miliónov dolárov z kryptomenovej platformy, bola paradoxne ponúknutá práca v oblasti zabezpečenia.

Hoci väčšina peňazí bola vrátená spoločnosti Poly Network, ale majetok v hodnote viac ako 200 miliónov dolárov zostáva naďalej uzamknutý na účte kontrolovanom hackerom, ktorému kryptoplatforma dala označenie pán „Biely klobúk“.

Hacker avizoval spoločnosti Poly Network, že je ochotný uvoľniť zvyšné finančné prostriedky pod podmienkou, že spoločnosť vylepší zabezpečenie svojej platformy.

Spoločnosť Poly Network v príspevku na sociálnej sieti uviedla, že je so spomínaným pánom s prezývkou „Biely klobúk“ v každodennom kontakte, pričom ho priebežne informovala o prebiehajúcom úsilí platformy zvýšiť jej bezpečnosť.

„ Vyvíjali sme neustále úsilie o dosiahnutie porozumenia s pánom „Biely klobúk“ a pevne dúfame, že čo najskôr prevedie súkromné kľúče, aby sme mohli vrátiť plnú kontrolu majetku späť užívateľom“, napísala spoločnosť.

Okrem toho uviedla, že povzbudzuje hackera k tomu, aby spolu s Poly Network aj naďalej prispieval k pokroku v oblasti bezpečnosti vo svete blockchainu a ponúkla mu miesto hlavného bezpečnostného poradcu spoločnosti.

Rizikový uchádzač o zamestnanie

 „Nenajal by som toho chlapíka“, povedal Giacomo Arcaro, hacker a krypto podnikateľ so sídlom v New Yorku. A pokračoval ďalej: „Predstavte si, čo by mohol urobiť, keby pracoval pre takú spoločnosť“, povedal pre TechNewsWorld. Podľa jeho slov, by mohol spomínaný hacker vložiť do systému trójskeho koňa s náhodným prístupom a hacknúť tak všetkých používateľov siete Poly. „Mali by najať odborníka na kybernetickú bezpečnosť, nie hackera“, dodal.

Erich Kron, advokát povedomia o bezpečnosti v spoločnosti KnowBe4, poskytovateľ školení o zvyšovaní povedomia o bezpečnosti v Clearwater na Floride, poznamenal, že situácia v sieti Poly je neobvyklá, lebo sa zdá, že hacker v dobrej viere vracia ukradnuté peniaze na krypto platformu. Zároveň dodal pre TechNewsWorld,  že hacker svojím konaním prekročil rámec toho, čo by sa dalo nazvať etické hackovanie.

„Jeho činy by mohli človeka prinútiť spochybniť stav jeho mysle a morálny kompas, dokonca aj pri vrátení peňazí, takže jeho zaradenie k zamestnancom by bolo značným rizikom. Ponuka použiť hackera ako hlavného bezpečnostného poradcu môže byť iba zmluvnou úlohou a nie skutočným vzťahom so zamestnancom,“ povedal. „Rovnako ako orgány činné v trestnom konaní používajú známych zločincov ako informátorov, hacker by mohol byť zdrojom cenných informácií. Predtým, než by mu dôverovali ako zamestnancovi, obe strany by si mali navzájom dôverovať a porozumieť jeho motivácii,“ dodal na záver.

Otázka dôvery

 Chris Clements, viceprezident architektúry riešení v spoločnosti Cerberus Sentinel uviedol pre TechNewsWorld, že Poly Network si uvedomuje vzniknutú situáciu a robí všetko, čo je v jej silách, aby získala späť ukradnuté finančné prostriedky. Zároveň však dodal, že ak spoločnosť skutočne chce dať hackerovi rozhodujúce slovo ohľadom jej bezpečnosti, je to pravdepodobne veľmi nerozumné.

„Na určitej úrovni sa totiž bezpečnosť znižuje na dôveru,“ pokračoval, „a jednotlivec, ktorý preukázal ochotu previesť finančné prostriedky, ktoré mu nepatria namiesto proaktívneho hlásenia bezpečnostného problému, si túto dôveru rozhodne nezískal.“

„Aj keby bol na preukázanie problému potrebný skutočný dôkaz o prevode koncepcie, pravdepodobne by to nevyžadovalo taký významný prevod, ani by to nezabránilo útočníkovi okamžite vrátiť finančné prostriedky, hneď ako bol problém vznikol,“ pridal na záver.

Ponuka Bug Bounty – odmeny za chyby

 Spoločnosť Poly Network ponúkla hackerovi okrem práce aj odmenu 500 000 dolárov za odhalenie chyby v ich softvéri, kvôli ktorej prišla spoločnosť o šesťsto miliónov dolárov.

Hacker pôvodne odmietol prijať ponúkanú odmenu, ale neskôr uviedol, že peniaze by mali byť poskytnuté technickej komunite, ktorá prispela k bezpečnosti blockchainu. Blockchain je technológia, ktorá je základným kameňom zabezpečenia kryptomeny.

Spoločnosť Poly Network vyhlásila, že plne rešpektuje myšlienku hackera a aby vyjadrila vďaku, tak prevedie útočníkovi už spomínanú odmenu pol milióna dolárov, aby ju mohol použiť podľa vlastného uváženia v záujme kybernetickej bezpečnosti a podpory ďalších projektov a jednotlivcov. Rovnako tak spoločnosť zdôraznila, že nemá v úmysle brať útočníka na právnu zodpovednosť za jeho činy, pretože je presvedčená o tom, že hacker vráti všetku kontrolu nad majetkom opäť do rúk spoločnosti Poly Network.

Pochybná vďačnosť

 Chris Clements poznamenal, že spoločnosť Poly Network sa tak pokúša motivovať útočníka, aby urobil správnu vec a vrátil peniaze naspäť spoločnosti.

„Odmeny za chyby vo všeobecnosti sú úžasným nástrojom, ktorý môžu organizácie používať ako súčasť kompletného programu informačnej bezpečnosti, ale spravidla sa riadia prísnymi pravidlami spolupráce medzi spoločnosťou a výskumnými pracovníkmi v oblasti bezpečnosti, ktorí sa pokúšajú nájsť chyby,“ dodal.

„V skutočnosti krádežou peňazí hacker prekročil hranicu trestného činu, aj keď finančné prostriedky vráti,“ povedal.

„Odmeny za chyby sú stále bežnejšie a sú pre organizácie veľmi efektívnymi nástrojmi na testovanie ich bezpečnosti, ale zvyčajne sú navrhnuté tak, aby poskytovali platby bez toho, aby výskumník zabezpečenia skutočne spôsobil škodu alebo čokoľvek odcudzil,“ vysvetlil Clements.

Konanie hackera spochybnil aj Quentin Rhoads, riaditeľ profesionálnych služieb pre TeamARES v spoločnosti CriticalStart, poradenskej spoločnosti v oblasti kybernetickej bezpečnosti a riadenej spoločnosti poskytujúcej služby detekcie a reakcie v Plano, v Texase.

„Zdá sa, že hacker zistil, že nemôže použiť peniaze, ktoré odcudzil, pretože spoločnosť Poly Network informovala niekoľko blockchainových stránok o blokovaní transakcií obsahujúcich ukradnuté adresy,“ povedal Rhoads pre TechNewsWorld.

„Pretože nemohol „prať“ peniaze, zmenil svoj postoj a povedal, že peniaze ukradol na zlepšenie kryptosveta,“ pokračoval.

Podľa Rhoadsa ide o prípad, keď nemôže útočník dostať peniaze, tak sa pokúsi z danej situácie vyťažiť maximum vo svoj prospech. A nepriamo k tomu prispela aj samotná spoločnosť Poly Network, ktorá hackerovi za vrátenie peňazí ponúkla odmenu.