加密货币公司向黑客提出条件：留一小部分，归还其余——《华尔街日报》

David Uberti

2022-07-25

作者：大卫·乌贝蒂2022年7月25日上午5:30（东部时间）|WSJ专业版一家泰国加密货币咖啡馆。过去一年中，与朝鲜有关的黑客从去中心化金融平台窃取了超过10亿美元。图片来源：SOE ZEYA TUN/路透社一些目睹数百万美元在数字劫案中消失的加密货币平台向攻击者提出了不寻常的交易：保留一部分，但归还其余部分。

这些恳求是说服黑客归还大部分被盗资金的最后努力。受害者在此类努力中提供了高达1000万美元的金额，并将其比作支付给安全研究人员以发现软件漏洞的漏洞赏金。

安全专家表示，与赎金支付类似，这些交易可能在商业上有意义，使公司在遭受网络攻击后能够恢复正常运营。但将其称为“漏洞赏金”激怒了漏洞研究专家。对他们来说，这种做法通过将盗贼与白帽黑客混为一谈，使盗贼合法化。白帽黑客直接与公司合作，包括像微软公司这样的跨国公司，或通过第三方平台进行合作。

“这稀释了人们为做正确的事情所付出的所有努力，”漏洞赏金平台Bugcrowd Inc.的创始人兼首席技术官凯西·埃利斯说。“每当这种情况出现时，我不得不暂时离开键盘。”

Bugcrowd创始人兼首席技术官凯西·埃利斯。图片来源：肖恩·普罗克特/彭博新闻社过去一年中，黑客大肆劫掠数字货币项目，据加密货币研究公司Chainalysis Inc.的数据，与朝鲜有关的组织窃取了超过10亿美元，主要来自去中心化金融平台。即使加密货币陷入漩涡，数百万美元的盗窃案仍在继续。

本月，去中心化金融交易平台Crema Finance披露了约880万美元加密货币被盗事件，其开发人员迅速与第三方侦探合作，追踪区块链或数字公共账本上的被盗资金。

几天后，Crema在推特上表示已与攻击者取得联系。

经过“长时间的谈判”，Crema表示，黑客同意保留近170万美元等值资金作为“白帽赏金”。

社交媒体上的关注者对Crema在糟糕情况下尽力而为表示赞赏。Crema自身的反应则较为低调。“从我们的角度来看，实际上并不认为最终结果是完美的，”该公司在一份声明中表示。

该公司未回应关于在达成协议前如何审查攻击者的置评请求，并拒绝安排开发人员接受采访。

“我们担心过多细节的谈判过程讨论实际上对黑客的帮助大于对去中心化金融社区的帮助，”Crema表示。

其他DeFi平台的类似提议似乎都未能成功。今年1月，借贷平台Qubit Finance在推特上发布消息，提供200万美元作为"应得的赏金"，以换取黑客归还8000万美元被盗资金中的剩余部分。

与Qubit漏洞利用相关的以太坊地址持有者将被盗的数百万美元资金转入基于区块链的混币软件Tornado Cash，该软件常被用于洗钱。价值近3500万美元的被盗以太币仍留在该地址。

笔记本电脑和智能手机上显示的Tornado Cash网站。图片来源：Luke MacGregor/Bloomberg News今年4月从DeFi借贷平台Rari Capital盗取约8000万美元的黑客曾暂时停止将被盗资金转入Tornado Cash，此前该平台开发者在推特上表示，他们愿意放弃1000万美元，“不问任何问题”，以换取剩余资金。

“我曾希望他正在考虑是否归还资金并领取赏金，“Rari联合创始人Jack Lipstone说。但攻击者最终还是恢复了通过Tornado Cash转移资金的行为，显然是为了掩盖资金来源。

“这简直糟透了，“Lipstone补充道。

上个月，DeFi加密项目Harmony在应对约1亿美元的黑客攻击时发推表示，将向黑客提供100万美元的"赏金”，以换取剩余资金。

“若资金归还，Harmony将主张不予刑事起诉，”该公司表示。随后，该公司将悬赏金额提高至1000万美元。

区块链分析专家怀疑与朝鲜有关的黑客窃取了资金，并将加密货币转移至Tornado Cash混币器。Harmony公司拒绝置评。

漏洞赏金平台HackerOne联合创始人兼首席技术官亚历克斯·赖斯表示，这类新兴且基本不受监管的系统可能发生从意外漏洞到刑事盗窃等各种网络安全事件。若属后者，漏洞利用后的付款行为近乎"一种洗钱形式”。

赖斯称：“犯罪分子盗取资金后，很乐意接受少得多的干净资金以便全身而退。”

美国当局已加强追踪被盗加密货币和制裁黑客组织的力度，并劝阻企业在遭遇勒索软件攻击后向黑客付款。财政部未回应置评请求，司法部则拒绝对这种新兴的漏洞利用后付款形式发表评论。

在接连发生高调黑客事件之际，部分加密平台已开始主动提供传统漏洞赏金。6月，基础设施平台Aurora向一名发现漏洞的白帽黑客支付了600万美元。

赖斯表示HackerOne确实有加密货币企业客户，但不会与运营结构非传统的DeFi平台合作。许多平台未注册为实体企业，其治理权由持有代币并能对项目管理进行投票的人员掌握。

“目前尚不清楚你实际上是与谁签订合同，如果发生某种犯罪行为或需要支付发票时，谁将承担法律责任，”莱斯先生表示，他的公司客户包括星巴克公司和通用汽车公司。

但他表示，大多数去中心化金融加密平台尚未就启动漏洞赏金计划进行接洽。

“这并不普遍，”莱斯补充道，“我们在现代商业世界中运营，这意味着我们需要适当的商业实体来建立业务关系。”

致信大卫·乌贝蒂，邮箱：[email protected]

本文发表于2022年7月26日的印刷版，标题为《加密公司让黑客保留部分战利品》。