「Poly Network」ハッキング事件ほぼ全額が返還
クロスチェーンプラットフォームであるポリーネットワーク(PolyNetwork)にて発生したハッキングの被害額のほぼ全てが返還された。8月13日のポリーネットワークのTwitterにて明らかになった。
— Poly Network (@PolyNetwork2) August 12, 2021
ポリーネットワークの発表によると被害額約6億1,000万ドル(約670億円)のうち、ハッキングの報道直後に凍結され動かせなくなった3300万ドル(約36億円)相当のテザー(USDT)以外は、プロジェクトとハッカーが管理するマルチシグ・ウォレットに全て送金が済んでいるとのことだ。
犯人とのやり取り
被害額の返還までにはイーサリアムのトランザクションを利用して犯人とのコミュニケーションがとられていた。その中で犯人は今回の犯行の動機を「楽しみのため:FOR FUN :)」としポリーネットワークを狙った理由として「クロスチェーンのハッキングが熱いから:CROSS CHAIN HACKING IS HOT」と答えている。
また犯人はポリーネットワークのバグを発見した際に、大金を得られる可能性をプロジェクトチームへ報告するよりも世間に公開することが問題解決につながると考えたようで「内部の人間がその脆弱性を隠したり悪用したりする前に、その脆弱性を公開する責任があります」と犯行に至るまでの経緯も説明をしている。
さらに犯人は一時的な電子メールやIPなどを使って、自身を追跡できないようにしているとし「私は暗闇の中で世界を救いたいのです」と自らの素性の露出は避けるとしている。
【なお、この表明はイーサリアムのトランザクションの中で行われている。こちらから「Click to see More→Input Data→View Input As→UTF-8」を選択】
犯人からの資金返還と説明を受け、ポリーネットワークは今回の犯行を「ホワイトハット(正義の味方)行為」とし、犯人にバグを見つけた報奨金50万ドルを与えることと、犯行に対し責任を問わないことの保証を表明した。
【ポリーネットワークの表明はこちら】
それに対し犯人は「ポリーは報奨金を提示しましたが、私はそれに応じていません。代わりに、私は彼らのお金をすべて送り返します」と返信を行っている。
【犯人の返信はこちら】
ポリーネットワークの今後の対応
ポリーネットワークは今後のサービス再開への対応として、脆弱性修正のために複数の監査グループと協力してコードの確認を行う他、グローバルバウンティプログラムを計画しているとのこと。またメインネットのアップグレードも行うとしている。
なおポリーネットワークは返還金が一部保管されているウォレットの秘密鍵が犯人からの承認を待っている状況であるとし、また凍結されたUSDTについてはテザー社と対応を進めているとのことだ。
【今後の対応を説明した一連のツイートのスレッド(表示されているツイートよりリプライが続く)】
1. Patching Vulnerabilities
— Poly Network (@PolyNetwork2) August 13, 2021
We have completed the necessary fixes, and are working with multiple security & audit groups to go over the code. We also plan a global bounty program to encourage more security agencies to participate in the audit of #PolyNetwork‘s core functions.
関連ニュース
クロスチェーンネットワーク「PolyNetwork」でハッキング、約670億円の被害
「Poly Network」ハッキング事件、犯人が約287億円分を返却
images:iStocks/LuckyStep48・Andrei_Andreev