Nach 600-Millionen-Dollar-Diebstahl Poly Network bietet Hackern 500.000 Dollar »Finderlohn« an

Geld statt Knast, so sieht das Angebot einer Kryptogeld-Firma an die Täter aus, die ihr Millionenwerte abgenommen hatten. Doch die reagierten zurückhaltend.
Sehr viel Geld: Das Unternehmen will die Täter belohnen

Sehr viel Geld: Das Unternehmen will die Täter belohnen

Foto: imago/ fotoimedia

Der Kryptowährungs-Dienstleister Poly Network hat dem oder den Hackern, die seine Systeme vor einigen Tagen kompromittiert hatten, eine halbe Million Dollar als Belohnung für das Aufzeigen einer IT-Schwachstelle in Aussicht gestellt. Dem ungewöhnlichen Angebot war eine turbulente Woche vorausgegangen. Zunächst hatten die Unbekannten mehr als 600 Millionen Dollar in Digitalwährungen von Poly Network gestohlen, bereits am folgenden Tag aber damit begonnen, die Beute stückweise zurückzugeben.

Der oder die Täter hatten die Kommentarfelder der Transferanweisungen dabei genutzt, um ihr Vorgehen zu erklären und zu begründen. Die Texte ließen den Eindruck entstehen, dass es sich um eine allein operierende Hackerin oder einen Hacker handelt. Unter anderem veröffentlichte diese Person eine Art FAQ, in der er oder sie die Hintergründe der Tat und die Vorgehensweise erläuterte.

Am späten Donnerstag reagierte die geschädigte Firma auf dieselbe Weise, nämlich, indem sie über das Kommentarfeld einer Kryptotransaktion eine Nachricht an den oder die Täter sendete . In der heißt es: »Da wir glauben, dass es sich bei Ihrer Aktion um ein White-Hat-Verhalten handelt, planen wir, Ihnen ein Bug-Bounty in Höhe von 500.000 Dollar anzubieten, nachdem Sie die Rückerstattung vollständig abgeschlossen haben.« Bug Bountys werden üblicherweise für das Melden von Sicherheitslücken an den Hersteller gezahlt. Zudem versicherte die Firma, »dass Sie für diesen Vorfall nicht zur Rechenschaft gezogen werden«.

Der oder die Täter reagierten prompt, veröffentlichten nur vier Minuten nach Erhalt des Angebots die Antwort: »Poly hat eine Belohnung angeboten, aber ich habe nicht darauf reagiert. Stattdessen werde ich all ihr Geld zurückschicken.«

Dem Chefwissenschaftler der Blockchain-Sicherheitsfirma Elliptic, Tom Robinson, zufolge ist dieser Rückgabeprozess mittlerweile weitgehend abgeschlossen. Nur Kryptogeld im Wert von 33 Millionen Dollar, das kurz nach dem Bekanntwerden des Hacks eingefroren wurde, sei noch nicht zurücktransferiert worden.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der oder die Täter haben unterdessen angekündigt, »unerwartete Opfer« ihres digitalen Raubzugs entschädigen zu wollen. In einer Nachricht kündigten sie an, sie würden erwägen, dafür möglicherweise dann doch die »begrenzte Belohnung« zu verwenden, die von Poly Network angeboten worden ist. Die Hauptquelle der Entschädigungen sollen aber Spenden sein. Bisher haben der oder die Täter auf diese Weise rund 4000 Dollar eingenommen, schreibt IT-Experte Robinson .

mak