加密貨幣公司向黑客提出條件：留一小部分，歸還其餘——《華爾街日報》

作者：大衞·烏貝蒂2022年7月25日上午5:30（東部時間）|WSJ專業版一家泰國加密貨幣咖啡館。過去一年中，與朝鮮有關的黑客從去中心化金融平台竊取了超過10億美元。圖片來源：SOE ZEYA TUN/路透社一些目睹數百萬美元在數字劫案中消失的加密貨幣平台向攻擊者提出了不尋常的交易：保留一部分，但歸還其餘部分。

這些懇求是説服黑客歸還大部分被盜資金的最後努力。受害者在此類努力中提供了高達1000萬美元的金額，並將其比作支付給安全研究人員以發現軟件漏洞的漏洞賞金。

安全專家表示，與贖金支付類似，這些交易可能在商業上有意義，使公司在遭受網絡攻擊後能夠恢復正常運營。但將其稱為“漏洞賞金”激怒了漏洞研究專家。對他們來説，這種做法通過將盜賊與白帽黑客混為一談，使盜賊合法化。白帽黑客直接與公司合作，包括像微軟公司這樣的跨國公司，或通過第三方平台進行合作。

“這稀釋了人們為做正確的事情所付出的所有努力，”漏洞賞金平台Bugcrowd Inc.的創始人兼首席技術官凱西·埃利斯説。“每當這種情況出現時，我不得不暫時離開鍵盤。”

Bugcrowd創始人兼首席技術官凱西·埃利斯。圖片來源：肖恩·普羅克特/彭博新聞社過去一年中，黑客大肆劫掠數字貨幣項目，據加密貨幣研究公司Chainalysis Inc.的數據，與朝鮮有關的組織竊取了超過10億美元，主要來自去中心化金融平台。即使加密貨幣陷入漩渦，數百萬美元的盜竊案仍在繼續。

本月，去中心化金融交易平台Crema Finance披露了約880萬美元加密貨幣被盜事件，其開發人員迅速與第三方偵探合作，追蹤區塊鏈或數字公共賬本上的被盜資金。

幾天後，Crema在推特上表示已與攻擊者取得聯繫。

經過“長時間的談判”，Crema表示，黑客同意保留近170萬美元等值資金作為“白帽賞金”。

社交媒體上的關注者對Crema在糟糕情況下盡力而為表示讚賞。Crema自身的反應則較為低調。“從我們的角度來看，實際上並不認為最終結果是完美的，”該公司在一份聲明中表示。

該公司未回應關於在達成協議前如何審查攻擊者的置評請求，並拒絕安排開發人員接受採訪。

“我們擔心過多細節的談判過程討論實際上對黑客的幫助大於對去中心化金融社區的幫助，”Crema表示。

其他DeFi平台的類似提議似乎都未能成功。今年1月，借貸平台Qubit Finance在推特上發佈消息，提供200萬美元作為"應得的賞金"，以換取黑客歸還8000萬美元被盜資金中的剩餘部分。

與Qubit漏洞利用相關的以太坊地址持有者將被盜的數百萬美元資金轉入基於區塊鏈的混幣軟件Tornado Cash，該軟件常被用於洗錢。價值近3500萬美元的被盜以太幣仍留在該地址。

筆記本電腦和智能手機上顯示的Tornado Cash網站。圖片來源：Luke MacGregor/Bloomberg News今年4月從DeFi借貸平台Rari Capital盜取約8000萬美元的黑客曾暫時停止將被盜資金轉入Tornado Cash，此前該平台開發者在推特上表示，他們願意放棄1000萬美元，“不問任何問題”，以換取剩餘資金。

“我曾希望他正在考慮是否歸還資金並領取賞金，“Rari聯合創始人Jack Lipstone説。但攻擊者最終還是恢復了通過Tornado Cash轉移資金的行為，顯然是為了掩蓋資金來源。

“這簡直糟透了，“Lipstone補充道。

上個月，DeFi加密項目Harmony在應對約1億美元的黑客攻擊時發推表示，將向黑客提供100萬美元的"賞金”，以換取剩餘資金。

“若資金歸還，Harmony將主張不予刑事起訴，”該公司表示。隨後，該公司將懸賞金額提高至1000萬美元。

區塊鏈分析專家懷疑與朝鮮有關的黑客竊取了資金，並將加密貨幣轉移至Tornado Cash混幣器。Harmony公司拒絕置評。

漏洞賞金平台HackerOne聯合創始人兼首席技術官亞歷克斯·賴斯表示，這類新興且基本不受監管的系統可能發生從意外漏洞到刑事盜竊等各種網絡安全事件。若屬後者，漏洞利用後的付款行為近乎"一種洗錢形式”。

賴斯稱：“犯罪分子盜取資金後，很樂意接受少得多的乾淨資金以便全身而退。”

美國當局已加強追蹤被盜加密貨幣和制裁黑客組織的力度，並勸阻企業在遭遇勒索軟件攻擊後向黑客付款。財政部未回應置評請求，司法部則拒絕對這種新興的漏洞利用後付款形式發表評論。

在接連發生高調黑客事件之際，部分加密平台已開始主動提供傳統漏洞賞金。6月，基礎設施平台Aurora向一名發現漏洞的白帽黑客支付了600萬美元。

賴斯表示HackerOne確實有加密貨幣企業客户，但不會與運營結構非傳統的DeFi平台合作。許多平台未註冊為實體企業，其治理權由持有代幣並能對項目管理進行投票的人員掌握。

“目前尚不清楚你實際上是與誰簽訂合同，如果發生某種犯罪行為或需要支付發票時，誰將承擔法律責任，”萊斯先生表示，他的公司客户包括星巴克公司和通用汽車公司。

但他表示，大多數去中心化金融加密平台尚未就啓動漏洞賞金計劃進行接洽。

“這並不普遍，”萊斯補充道，“我們在現代商業世界中運營，這意味着我們需要適當的商業實體來建立業務關係。”

致信大衞·烏貝蒂，郵箱：[email protected]

本文發表於2022年7月26日的印刷版，標題為《加密公司讓黑客保留部分戰利品》。