加密公司向盗窃的黑客提供报价：保留一点，把剩下的归还

一些目睹数百万美元在数字抢劫中消失的加密货币平台向攻击者发出了不同寻常的推销：保留一部分，但归还其余部分。

这些请求相当于最后的恳求，以说服黑客归还大部分被盗资金。受害者在这些努力中提供了高达 1000 万美元的资金，并将其比作为发现软件缺陷而支付给安全研究人员的漏洞赏金。

安全专家说，与赎金支付类似，这些交易可能具有商业意义，允许公司在网络攻击后恢复正常。但是将它们称为“漏洞赏金”已经激怒了漏洞专家。对他们来说，这种做法通过将窃贼与白帽黑客混为一谈来合法化，白帽黑客报告软件缺陷是有偿的。道德黑客直接与公司打交道，包括与微软公司等跨国公司打交道 ，或通过第三方平台。

漏洞赏金平台 Bugcrowd Inc. 的创始人兼首席技术官凯西·埃利斯 (Casey Ellis) 说：“这削弱了人们为做正确的事情所做的所有工作。”当它来临时，我不得不时不时地退出键盘。向上。”

黑客在过去一年中掠夺了数字货币项目，与朝鲜有关的团体窃取了超过 10 亿美元根据加密研究公司 Chainalysis Inc. 的数据，主要来自去中心化金融平台。数百万美元的抢劫案仍在继续，即使加密货币已经陷入漩涡。

本月，DeFi 交易平台 Crema Finance 披露了大约 880 万美元的加密货币被盗事件，其开发人员迅速与第三方侦探合作，在区块链或数字公共分类账上追踪被盗资金。

几天后，Crema 在推特上说它已经与攻击者建立了联系。

Crema 说，经过“长时间的谈判”，黑客同意保留相当于近 170 万美元的“白帽赏金”。

社交媒体追随者称赞 Crema 充分利用了糟糕的情况。克雷玛自己的反应是沉默的。“从我们的角度来看，我们实际上并不认为最终的结果是完美的，”该公司在一份声明中表示。

该公司没有回应关于在交易前如何审查攻击者的置评请求，并且拒绝让开发人员接受采访。

Crema 说：“我们担心，讨论太多细节的谈判过程实际上为黑客提供了比 DeFi 社区更多的帮助。”

其他 DeFi 平台的其他此类提议似乎都失败了。1 月，借贷平台 Qubit Finance 在 Twitter 上发布了一条 消息，提供 200 万美元作为“应得的赏金”，以换取黑客返还 8000 万美元盗窃的余额。

可以访问与 Qubit 漏洞相关的以太坊地址的人将数百万被盗资金转移到基于区块链的混合软件中，称为 Tornado Cash，该软件通常用于洗钱。价值近 3500 万美元的被盗以太币仍留在该地址。

黑客在 4 月份从 DeFi 借贷平台 Rari Capital 盗窃了大约 8000 万美元，在该平台的开发人员在推特上表示他们将没收 1000 万美元以换取其余资金后，暂时停止向 Tornado Cash 发送被盗资金的钱。

Rari 联合创始人杰克·利普斯通 (Jack Lipstone) 说：“我希望他正在考虑是否会将钱寄回去并获得赏金。” 但攻击者最终继续将钱汇入 Tornado Cash，显然是为了掩盖其来源。

“这就像有史以来最糟糕的感觉，”利普斯通先生补充道。

上个月，当 DeFi 加密项目 Harmony 回应了约 1 亿美元的抢劫案时，它在推特上表示，它将向黑客提供 100 万美元的“赏金”，以换取剩余的资金。

“当资金归还时，Harmony 将主张不提起刑事指控，”它说。该公司后来将报价提高到 1000 万美元。

区块链分析专家怀疑与朝鲜有关的黑客窃取了资金，并将加密货币注入 Tornado Cash。

漏洞赏金平台 HackerOne 的联合创始人兼首席技术官亚历克斯·赖斯 (Alex Rice) 表示，此类新的且基本上不受监管的系统上的网络事件可能从意外利用到犯罪抢劫。他说，如果属于后一类，利用后付款就像“一种洗钱形式，几乎”。

“犯罪分子能够偷钱，并且乐于接受少量干净的钱，以便能够逍遥法外，”赖斯先生说。

美国官员已加大力度追踪被盗加密货币并制裁黑客组织，他们不鼓励公司在勒索软件攻击后向黑客付款。财政部没有回应，司法部拒绝发表评论。

在一系列备受瞩目的黑客攻击中，一些加密平台已经开始抢先提供传统的漏洞赏金。6 月，一个名为 Aurora的基础设施平台 向一名白帽黑客支付了 600 万美元，用于发现一个漏洞。

赖斯先生表示，HackerOne 确实有基于加密的公司作为客户，但它不适用于具有非传统运营结构的 DeFi 平台。许多人没有注册为实际企业，而是由持有代币并就项目管理方式进行投票的人管理。

“目前尚不清楚你实际上是在与谁签订合同，如果发生某种类型的犯罪，或者需要支付发票，谁负有法律责任，”赖斯先生说，他的公司的客户包括星巴克和通用汽车。

但他说，大多数 DeFi 加密平台还没有开始启动漏洞赏金计划。

“这并不普遍，我们在现代商业世界中运营，这意味着我们需要适当的商业实体与之建立业务关系。”

原文始发于微信公众号（网络研究院）：加密公司向盗窃的黑客提供报价：保留一点，把剩下的归还