黑客称盗窃为了好玩：)，退还39亿元加密货币：对钱不是很感兴趣

攻陷Poly Network加密货币平台的黑客表示，盗窃只是“为了好玩:)”；该黑客现退还盗取的加密货币。黑客还声称，这些货币已转移到了自己的钱包中，“以确保安全”。

Poly Network周二首次披露了这次黑客攻击事件，称黑客在劫案发生时窃取了价值约6亿美元（约39亿人民币）的加密货币。

数以千计的代币包括：以太坊区块链上的2.7亿美元、币安智能链上的2.5亿美元、Polygon网络上的8400万美元以及少量其他知名度较小的代币，比如Tether、Shiba Inu和Matic。

截至今天凌晨4点，Poly Network表示3.42亿美元已退还。该公司表示，其余的显然都采用以太坊，正在“逐渐转移”。

Poly Network运营的平台让人们可以使用有助于实现流程自动化的智能合约，在不同的区块链之间转移代币。该公司在推文中表示，该黑客利用了Poly Network的其中一个智能合约中存在的漏洞。该智能合约需要大量的流动性，以便可以快速且高效地完成不同区块链之间的交易。

葫芦里卖的什么药？

据Kelvin Fichter在推文上发布的分析这次黑客活动的结果显示，黑客显然利用了Poly Network验证智能合约的方式所存在的漏洞，更改公钥列表以匹配黑客的私钥。一旦更改了这些密钥，黑客就能够将资金改而转移到个人钱包。

在其中一笔交易中充斥着感叹号的全大写问答（Q&A）中，黑客对这次活动背后的动机作出了一番解释。（我们无法验证这些陈述的真实性，不过一位专家称它们与黑客的帐户有关）黑客写道。“发现这个漏洞后，我有一种难以名状的感觉。问问自己，如果你突然面临这么庞大的财富，你会怎么做。礼貌地询问项目团队，以便他们可以修复漏洞？给你10亿，谁都会做叛徒！”

黑客还给出了退还资金的理由，声称：“这一直是计划之中！我对钱不是很感兴趣！我知道人们受到攻击后痛苦不堪，但他们不应该从那些攻击活动中汲取点教训吗？”

不过这个黑客当然不会放弃一些额外的现金。该黑客说：“与此同时，存入「Tether之类的稳定币」可以生一些利息以支付潜在成本，那样我就有更多的时间与Poly的团队进行谈判了。”

谈判策略

在Poly Network披露攻击事件后不久，它在Twitter上向黑客喊话。“你盗取的金额是defi有史以来数额最大的一笔。任何一个国家的执法部门都会将此视为重大经济犯罪，你将受到追捕。你再做任何交易都是很不明智的。”

这一谈判策略以及Tether冻结Poly Network上价值3300万美元的代币似乎奏效了。LMAX Group的货币策略师Joel Kruger向《华尔街日报》表示，匿名转移这么多数量的加密货币，难度之大可想而知，这也给黑客提出了挑战。他说：“你将不得不想方设法提取以变现——考虑到可以跟踪从一个钱包到另一个钱包、从一个交易所到另一个交易所的交易活动，提取变现变得更加不可能了。”

喊话后不到一天，黑客就开始将窃取的加密货币退回该公司。

在问答中，该黑客试图装出一副白帽黑客的样子，写道：“我明白即使我不作恶，也有可能暴露身份。因此，我使用了无法追踪的临时的电子邮件、IP或所谓的指纹「原文如此」。”

该黑客最后不忘对加密货币社区冷嘲热讽一下：“我更喜欢待在黑暗中拯救全世界。”

奖励黑客50万美元的“漏洞赏金”

Poly Network周五证实，它已向黑客开出了50万美元的“漏洞赏金”。

它在一份声明中感谢黑客“帮助我们提高Poly Network的安全性”，称之为“白帽黑客”（这个行业术语是指通常旨在揭露网络漏洞的道德黑客），对方已退还了大部分资金。

该网络还表示，它希望“白帽黑客先生”一收到50万美元的奖励，可以为区块链行业的持续发展做出贡献。这笔奖励是就退还数字货币进行谈判后所提供的。

这番声明并没有具体表明将以何种形式支付50万美元，表示黑客已经对这一提议作出了回应，但没有表示对方已接受提议。

参考链接：

https://arstechnica.com/tech-policy/2021/08/hacker-is-returning-600m-in-crypto-claiming-theft-was-just-for-fun/

https://www.reuters.com/technology/crypto-platform-poly-network-rewards-hacker-with-500000-bug-bounty-2021-08-13/