Hacker que roubou R$ 3 bilhões da Poly vai devolver ativos “com juros”

Eis o cenário: um ladrão rouba uma pessoa, se arrepende, devolve o dinheiro da vítima e ainda a “recompensa” com uma grana extra. Parece cena de novela mexicana, não? Dadas as medidas proporções, foi isso que aconteceu no episódio de um ataque hacker à empresa de blockchain Poly Network no começo deste mês.

Troque o ladrão por hacker, a vítima pela empresa de blockchain e o dinheiro por criptomoedas e o contexto ficará o mais próximo da realidade possível. Mas antes de entender o mais novo capítulo, vale um breve resumo de toda a história para quem não acompanhou esse episódio bizarro desde o começo.

Um resumão do ataque hacker histórico

• 1) Em 10 de agosto, a Poly Network confirmou que uma falha em seus sistema permitiu que um invasor ganhasse acesso a milhares de tokens de moedas digitais dos usuários do site;
• 2) Foram roubados cerca de US$ 267 milhões em Ether, US$ 252 milhões em Binance coins e “apenas” US$ 85 milhões em tokens USDC;
• 3) A resposta da empresa aos hackers — ou hacker — foi pedir no Twitter, com muita educação, que eles se arrependessem e devolvessem o dinheiro: “Você deveria falar com a gente para chegarmos a um acordo”;
• 4) Nesse meio tempo, a Poly e outras firmas de segurança conseguiram obter alguns dados dos invasores, incluindo email, endereço IP e o serviço utilizado por eles para transferir as criptomoedas;
• 5) Um dia depois do ocorrido, os hackers se mostraram “sensibilizados” e começaram a devolver alguns milhões de dólares em tokens;
• 6) Com toda a grana devolvida, a Poly Network quis pagar recompensa de R$ 2,6 milhões ao hacker, que negou o prêmio.
• 7) Após a devolução do montante roubado, o hacker foi convidado a trabalhar como Conselheiro Chefe de Segurança da Poly, mas o acordo do contrato não foi divulgado.

Ao devolver os ativos à empresa, hacker disse não estar interessado no dinheiro. Foto: Executium/Unsplash

Já na última segunda-feira (23), a Poly Network publicou em seu blog que o hacker — conhecido como Sr. White Hat — devolveu os 28.953 Ethers e 1.032 WBTCs restantes (cerca de US$ 141 milhões). Com todo o montante recuperado, a empresa agora iniciará o processo de devolução dos ativos aos seus respectivos proprietários.

A empresa não chegou a cravar quando os ativos serão totalmente devolvidos, mas disse que trabalha para concluir o processo “no menor prazo possível”. Posteriormente, a Poly planeja descongelar aproximadamente US$ 33 milhões em ativos para restaurar a funcionalidade do Poly Bridge, serviço que permite aos clientes transferir criptomoedas entre blockchains.

Devolução com juros?

Em uma das devoluções finais à Poly, o hacker enviou um longo bilhete para a empresa, desculpando-se por todo o inconveniente causado e intitulando todo o processo — desde à invasão até a restituição dos ativos — como uma grande “aventura selvagem”.

Curiosamente, o Sr. White Hat prometeu devolver mais dinheiro do que roubou originalmente. Segundo a nota do hacker, toda a recompensa de US$ 500 mil enviada pela Poly como forma de “agradecimento” à cooperação, bem como doações que ele recebeu desde o hack, serão distribuídas entre as vítimas.

Já a Poly Network deverá reforçar sua plataforma de blockchain. Em uma postagem anterior, a companhia disse que vai iniciar um programa de recompensas por bugs de US$ 500 mil para quem encontrar outras vulnerabilidades em seu software. No entanto, a lista da empresa divulgada no portal hacker Immunefi afirma que a recompensa máxima é de US$ 100 mil.

Apesar de todas as dores de cabeça ao longo do processo, ao que parece, todos vão sair ganhando. As vítimas vão recuperar seus ativos com alguns extras, a empresa descobriu a vulnerabilidade e vai reforçar sua segurança, e o hacker conseguiu mostrar ao mundo sua capacidade, o que pode lhe render um novo emprego.

Se esse, de fato, for o desfecho da história, certamente poderia ser transformada em uma novela de drama — adaptada aos dias atuais, é claro.

Fonte: The Verge