Trois jours après le hack du Poly Network, le pirate – qui était parvenu à voler plus de 600 millions de dollars de cryptomonnaies – a continué à restituer progressivement les actifs numériques en sa possession. Ce jeudi, il avait déjà rendu la quasi-totalité des sommes volées, à l’exception des USDT, gelés par Tether. L’homme, considéré par Poly Network comme un hacker « white hat », a refusé une récompense de 500 000 dollars.
Le pirate décide de rendre tous les actifs subtilisés
Les développeurs du Poly Network peuvent enfin souffler.
Le pirate à l’origine de l’attaque du protocole de finance décentralisée « cross-chain » Poly Network a rendu la quasi-totalité des actifs numériques dérobés. Pour les développeurs, son comportement fait de lui un hacker « white hat ».
Dans un tweet publié jeudi soir, les équipes de Poly Network ont expliqué que la quasi-totalité des 610 millions de dollars de cryptomonnaies leur avaient été restitués. Il ne manquait plus que 33 millions d’USDT, qui ont été gelés par la société émettrice, Tether, quelques minutes après la nouvelle de l’attaque.
— Poly Network (@PolyNetwork2) August 12, 2021
« Tous les actifs restants d’utilisateurs sur Ethereum (à l’exception des USDT gelés) ont été transférés vers un portefeuille multi-signature contrôlé par M. White Hat [le pirate] et l’équipe du Poly Network. […] », a déclaré la société sur Twitter.
« Afin de s’assurer de la récupération complète des fonds et des services “cross-chain”, l’équipe continuera à communiquer activement avec M. White Hat afin de recevoir la clé finale ».
Depuis plusieurs jours, le pirate communique régulièrement avec les développeurs à travers des messages insérés dans des transactions Ethereum. Il pourrait ne pas avoir dérobé les fonds pour son usage personnel, mais seulement pour s’offrir une dose d’adrénaline.
Il avait justifié son acte en expliquant qu’il faisait « pour s’amuser », et que « le piratage d’une technologie cross-chain [était] éblouissant ».
Hier matin, il avait déjà rendu l’équivalent de 258 millions de dollars – soit plus de 40% des fonds dérobés.
Le hacker refuse 500 000 dollars de « bug bounty »
Poly Network, qui a baptisé le hacker « M. White Hat », lui avait proposé hier après-midi une récompense de 500 000 dollars s’il rendait la totalité des sommes dérobées.
« Nous apprécions le fait que vous ayez partagé votre expérience, et nous pensons que vos actions constituent un comportement “white hat”. […] Nous souhaitons vous offrir un “bug bounty” de 500 000 dollars une fois que vous aurez rendu la totalité des actifs. Nous vous assurons que nous ne vous tiendrons pas responsable de cet incident », ont déclaré les développeurs.
« Les équipes de Poly m’ont proposé une récompense, mais je ne leur ai jamais répondu. J’ai à la place décidé de rendre tout l’argent », a répondu le hacker.
Alors que le reste des fonds a été restitué – à l’exception des USDT gelés – ce qui constitue le plus grand hack de la finance décentralisée semble toucher à la fin.
Notons que la société chinoise SlowMist, spécialisée en cybersécurité, a récemment déclaré avoir identifié l’adresse e‑mail, l’adresse IP ainsi que les empreintes du périphérique du hacker. Il reste difficile de savoir si les équipes de Poly Network décideront de le poursuivre.