Poly Networkから暗号資産約6.1億ドルが流出した史上最大のハッキング事件は全額返金という形で解決した様です。

www.bleepingcomputer.com

今日、ホワイトハット氏と呼ばれるハッカーは、ポリネットワークにウォレット内の盗まれたデジタル資産の最後のトランシェへのアクセスを許可しました。これは約1億4100万ドルに相当します。

50万ドルの「ありがとう」
Poly Networkは、すべてのサービスを再開する前に発生したセキュリティ違反から立ち直る最後から2番目の段階である「資産回復」操作に移行しました。

事件は8月10日に発生し、未知の当事者が分散型クロスチェーンプロトコルおよびネットワークPolygonNetworkからBinanceChain、Ethereum（ETH）、およびPolygon資産をウォレットに転送しました。

イーサリアム トークン：約2億7300万ドル
Binanceスマートチェーン：約2億5300万ドル
ポリゴン ネットワーク（USDC）：約8500万ドル
ニュースはすぐにブロックチェーンに広がり、攻撃者が使用した3つのウォレットアドレスはPolyNetwork Exploiterとしてマークされ、資産が盗まれたことを取引所に知らせ、トランザクションを処理しませんでした。

同じ日に、Poly Networkはハッカーにハッキングされた資産を返還するよう促し、「解決策を見つける」ために物事を話し合う用意があると述べました。

 

キタきつねの所感

分散型金融プラットフォームを運営するPoly Networkが”史上最大の”ハッキング攻撃を受け、約660億円の仮想通貨が不正流出したと発表したのは8月10日でしたので、2週間でスピード解決した事になります。

 

参考：過去記事

foxsecurity.hatenablog.com

 

仮想通貨の流出事件としては、2018年に日本のコインチェックが約580億円規模の被害を受けていますが（※2014年のMt.Goxが約370億円の被害）、その「記録」を塗り替えた史上最大の事件ではあるものの、攻撃を仕掛けたハッカーが「グレーハット」である事にいち早く気づいたPOLY Networkの絶妙な一手が、このスピード解決に結び付いた気がします。

 

この解決には、ハッカーに対して、暗号資産のマネロン対策トップ企業のElliptic社の共同創業者であるTom Robinson氏がいち早く攻撃者にコンタクトを取り、QAとして公開した事も大きかったかと思います。

 

以下Twitterから全4投稿を引用します。

※詳細訳が見たい方は、過去記事に訳文を載せてありますのでそちらをご覧ください。⇒無償閲覧可の記事です

The $600 million Poly Network hacker has published part one of a "Q&A":#polynetworkhack pic.twitter.com/3y1JQnHe50

— Tom Robinson (@tomrobin) August 11, 2021

Part 2: pic.twitter.com/jOR4WfdVLm

— Tom Robinson (@tomrobin) August 11, 2021

Part 3: pic.twitter.com/JqZlB3Lc47

— Tom Robinson (@tomrobin) August 11, 2021

Q&A part 4 (!) pic.twitter.com/sCNyV0zqYq

— Tom Robinson (@tomrobin) August 11, 2021

 

このQAで攻撃者は、

「ハッキングはお金目的ではなく挑戦だった（なので返金し始めた）」

「自分の正体を隠したい（逮捕されたくない）」

「ネットワークの安全性を保つためのヒントを（POLY Networkに）提供したい」

 

と、”グレーハットハッカー”、つまりブラックにもホワイトにも動いてしまう可能性のあったこのハッカーの心理を物語っている気がします。

※このハッカーがブラック側に転んでも（盗んだお金を得る方向に向かっても）おかしくなかったと思います。

※詳細は分かりませんが、多くの「クレクレ君」が登場して嫌気が指した様な事も書かれていました。

 

このQA後に、POLY Networkが打った手はかなり大胆なものだった気がします。

※日本の企業で、この判断が出来るところは「皆無」ではないでしょうか。

 

それが、このハッカーを”Mr.ホワイトハッカー”と呼び、Twitter上で以下の３つの提案を行った事です。

「バグ報告の報奨金として50万ドルを進呈します」

「この事件の訴追はしません」

「チーフセキュリティアドバイザーになりませんか？」

 

Mr.ホワイトハッカーが全額を返金し、最初は受け取らないと言っていた報奨金も、ハッカー指定のウォレットに”寄付された”（≒受け取った）様です。

北風と太陽で言う、”太陽”の手法がいつも有効に働く訳ではないと思いますが、今回の事件では、成功を収めたと言えそうです。

 

Aug-19 12:55:49 AM +UTC#mrwhitehat returned 96,942,063 DAI on Ethereum. 28,953 ETH and 1,032 WBTC still remain in multi-sig wallet. As we promised, 160 ETH Bounty(worth $500K) has been donated. Please check it here https://t.co/uoKB8vjyQX

— Poly Network (@PolyNetwork2) August 19, 2021

 

余談です。日本の仮想通貨取引所のリキッドから1億ドル相当の仮想通貨が流出したと報じられています。

www.bbc.com

 

こちらは「ブラックハット」ハッカーの攻撃だったと思われますので、盗まれた資産が戻ってくる事は無さそうですが、仮にPoly Networkと同様に「グレーハット」や「ホワイトハット」ハッカーの攻撃だった場合に、「太陽」提案が出来るかどうかでトータル被害額が変わってくるのかも知れません。

仮想通貨資産は常に外部から狙われているだけに、今回のPOLY Networkの対応を元に、自身のインシデント対応計画を見直すべき取扱事業者は多い気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

• 2021年8月24日 AM