多額の仮想通貨を盗まれたPoly Networkがハッカーに対し「セキュリティ顧問にならないか」と勧誘

2021年8月10日、異なる仮想通貨を直接交換可能にするプラットフォームのPoly Networkがシステムの脆弱(ぜいじゃく)性を突いたハッキングを受け、分散型金融(DeFi)のハッキング被害としては過去最高額となる総額6億1100万ドル(約680億円)相当の仮想通貨が流出しました。Poly Networkはこのような被害額にもかかわらず、脆弱性を修正しようと、ハッカーに「チーフセキュリティアドバイザー」としてのチームへの参加を呼びかけています。

Poly Network: Crypto platform asks hacker to become security advisor
https://www.cnbc.com/2021/08/17/poly-network-cryptocurrency-hack-latest.html

2021年8月のハッキングにより、Poly Networkからは総額6億1100万ドル分のイーサリアム(ETH)とBinanceコイン(BNB)、USDコイン(USDC)が流出しました。Poly NetworkはすぐさまTwitterで被害を報告し、ハッカーの仮想通貨送信先アドレスを公開した上で、マイナーや取引所に対して該当アドレスから送られてくるトークンをブラックリストに載せるよう呼びかけていました。また、ハッカーに対しても盗んだ仮想通貨を返還するよう求めていました。

過去最高額の総額600億円超の仮想通貨がハッキングにより盗まれる - GIGAZINE

しかし、Poly Networkによるハッキングの報告からおよそ24時間後、ハッカーが盗んだ仮想通貨を次々に返還。ハッカーは「お金にはあまり興味がない。ハッキングから何かを学ぶべきではないか？」「ネットワークの安全性を確保するためのヒントを与えたい」と主張し、記事作成時点で盗んだ仮想通貨の約6割を返還しています。この件に関し、専門家は「ブロックチェーンの透明性から仮想通貨に手を付けるのは難しく、仮想通貨を返還することが最善の選択肢だったのだろう」と述べていました。

Poly Networkによると、残りの仮想通貨のうち、ハッキングの報告があった直後すみやかにTetherが凍結した3300万ドル(約40億円)を除く、約2億3800万ドル(約260億円)に手を付けられない状況であるとのこと。この仮想通貨は取引に複数の秘密鍵を必要とするマルチ・シグネクチャのアドレスに送信されており、秘密鍵をハッカーが握っている状態。ハッカーは「『全員が準備できれば』鍵を提供する」と述べています。Poly Networkはハッカーを「Mr.WhiteHat(ミスター・ホワイトハット)」と呼び、引き続き返還を求めています。

Poly Networkは関係機関と協力して脆弱性の修正を行っていますが、それとは別にミスター・ホワイトハットに対し、脆弱性を見つけた報奨金として最大50万ドル(約5500万円)を与えると呼びかけたとのこと。しかし、ミスター・ホワイトハットはこれを受け入れず、ブロックチェーンのセキュリティに貢献した技術コミュニティに提供するよう述べたとのことです。

Poly Networkはミスター・ホワイトハットの意をくんで、バグ報奨金プログラムを専用プラットフォームであるImmunefiで実施。重大なバグを見つけた者に10万ドル(約1100万円)ずつ報奨金を与えるとしています。

Poly Networkはミスター・ホワイトハットに対し「法的責任を負わせる意図はなく、ミスター・ホワイトハットをチーフセキュリティアドバイザーとして心から招待します」と呼びかけています。