Poly Network, il protocollo blockchain con sede in Cina hackerato all’inizio di agosto per oltre 600 milioni di dollari, ha dichiarato giovedì di aver inviato un riscatto del valore di quasi 500.000 $ all’hacker e che la maggior parte della criptovaluta saccheggiata è stata ora recuperata. Ma a quanto pare l’hacker deve ancora fornire la chiave necessaria per sbloccare i restanti 141 milioni di dollari.

“Ci sono utenti in preda al panico che potrebbero perdere il controllo delle proprie risorse e vogliamo ridurre al minimo l’impatto su di esse, quindi ripristinare la nostra rete e le risorse dei nostri utenti in modo sicuro il più rapidamente possibile è la nostra massima priorità”

Il team di Poly Network in una newsletter.

A quanto pare, il motivo di questo ennesimo intoppo nella vicenda riguarda un altro conto su cui sono presenti 33 milioni di dollari in USDT. Questi soldi erano stati convertiti dall’hacker prima che il Poly Network si accorgesse del furto e chiedesse agli exchange di bloccare i conti. Anche questi 33 milioni sono comunque stati bloccati, non dagli exchange ma direttamente da quant Tether, la società che emette USDT.

Poly Network ha chiesto a Tether di inviargli le monete sequestrate e questo comportamento ha infastidito l’hacker, che forse riteneva che quei soldi non dovessero essere restituiti.

Nelle puntate precedenti…

Essendo questa situazione ormai diventata una telenovela, è necessario ripassare gli eventi accaduti negli ultimi 10 giorni.

La storia inizia il 10 agosto 2021 quando la piattaforma cinese DeFi Poly Network dichiara che un hacker ha sfruttato un bug nel codice per rubare circa 614 milioni di dollari. Essendo la blockchain pubblica, il conto su cui l’hacker ha trasferito le crypto è stato immediatamente messo in blacklist da tutti gli exchange, impedendogli quindi di poter spendere o scambiare il bottino del furto.

Le monete rubate sarebbero ETH, BNB e MATIC. a proposito di quest’ultima, è importante chiarire che il Poly Network non ha nulla a che fare con Polygon e la moneta MATIC, nonostante l’assonanza nel nome.

Successivamente, l’hacker è tornato sui suoi passi, dichiarando di non aver mai avuto intenzione di rubare realmente il denaro, ma di averlo prelevato solo per poter evitare che un altro malintenzionato potesse approfittarne.

Un criminale o un White Hacker?

Si tratterebbe quindi di un White Hacker, ovvero un “criminale” che viola i sistemi solo per aiutare le società a scoprire le proprie falle e a porvi rimedio. In sua difesa, se l’hacker avesse fatto presente il bug e non avesse toccato i fondi, un altro hacker avrebbe potuto sfruttare l’informazione per poter compiere il furto.

Dopo una trattativa con il Poly Network, la società si è impegnata a far cadere qualsiasi accusa verso l’hacker e ad inviargli 160 ETH (circa 500.000$) come premio per il lavoro svolto. In cambio, l’hacker avrebbe dovuto restituire tutto il bottino del furto.

L’hacker ha quindi iniziato a liberarsi delle criptovalute rubate, ma al posto di reinviarle al conto del Poly Network, le ha inviate a dei nuovi conti, promettendo di fornire successivamente le chiavi per potervi accedere.

Da quel momento l’hacker ha iniziato a perdere molto tempo, prima per volersi assicurare che la falla nel codice fosse realmente sistemata, poi perché riteneva di non fidarsi di tutti i membri del Poly Network, poi per altri motivi. In sostanza, al momento gran parte del bottino è stato restituito, ma mancano ancora 141 milioni di dollari, attualmente depositati su un conto al quale solo l’hacker può accedere.

Poly Network è in attesa di ricevere le chiavi di accesso, che però tardano ad arrivare. Teoricamente, l’accordo prevedeva il pagamento di un premio di 160 ETH dopo la riconsegna di tutto il furto. Tuttavia, il team ha deciso di pagare subito questa somma, nella speranza di convincere l’hacker ad inviare il prima possibile i codici d’accesso all’ultimo conto.

Secondo molti, questa modalità ricorda più quella di un riscatto piuttosto che di un premio. L’atteggiamento dell’hacker è sempre stato molto ambiguo e molti si chiedono se sia davvero un White Hacker, o se abbia cambiato idea dopo il furto perché impossibilitato a vendere il bottino.