2020 年 10 月から 2023 年 3 月までに、Web 3.0 分野では、攻撃後に失われた資金が回復または部分的に回復されたインシデントが 25 件発生しました。

これら 25 件の事件で盗まれた資金は総額約 13 億 5,000 万ドルに達し、そのうち 9 億 9,200 万ドル (73%) が返還されました。

今年、誰もが聞いた盗まれた資金の返還について:Euler Finance、Allbridge、および Sentiment Protocol の 3 つのプロジェクトはすべて、攻撃者との交渉に成功しました。

しかし、実際には、この状況は継続的な灰色の領域にあります。攻撃者は、バグ報奨金プログラムに参加すると明確に定義されているホワイト ハット ハッカーでも、純粋に資産を盗むブラック ハット ハッカーでもありません。彼らを「グレー ハット ハッカー」と呼ぶことができます。区別して分析します。

脆弱性の悪意のある悪用は、長年にわたり Web3.0 を悩ませてきました。これらの悪意のあるセキュリティ インシデントのターゲットは、多くの場合、契約、スマート コントラクト、および自己ホスト型ウォレットなどのソフトウェア ベースのアプリケーションであり、その結果、通常、ハッカーが「成功」します。 . 金を持って逃亡する。

しかし、攻撃者とうまく交渉し、資金の返還について交渉できるプロトコルの数はすでに増えています。

CertiK は、2020 年 10 月から 2023 年 3 月中旬までに悪用され、資金が返還された 25 のプロトコルのデータをまとめました。

☞ 約13億5,000万ドルの資金が盗まれる

☞ 総額約9億9,200万ドル（73％）の資金が返還されました

☞ 資金の約 3 億 1,450 万ドル (23.1%) が攻撃者によって保持されていた

☞ 残りの資金の約 3.9% がその過程で紛失または凍結されました

2023 年のこれまでに、盗難資産約 2 億 2,150 万ドルをもたらした 8 つの主要なエクスプロイトのうち、約 1 億 8,800 万ドル (84.8%) が払い戻されました。

一部の未返還資金は、プロトコルの脆弱性への注意を喚起するためにホワイトハット報奨金として保留されました。

資金が返還されない他の例は、部分的に攻撃者の要求によって発生しました。

これら 25 件の合意のうち、4 件は完全に返還されました。

攻撃者は、盗まれた資金を返還するという問題に別の方法でアプローチします。盗まれた資金を全額返還した者もいれば、一部を返還したり返還を拒否した者もいた。

これらのエクスプロイトの当初の悪意のある性質と、一部の攻撃者が被害者との交渉後に考えを変えたという事実により、これらのインシデントをグレーハット状況として分類しています。

Casio.App は、攻撃者によって 5,000 万ドルが盗まれるという事件を経験した後、最終的に口座に 10 万ドル未満しか残っていなかった投資家に資金を返還し、残りは慈善団体に寄付したと言われています。

Mango Marketこの事件の状況はさらに特殊である。攻撃者アブラハム・アイゼンバーグは協定から総額1億1,700万米ドルを盗み、最終的に約6,700万米ドルを返還したが、自分の行為は合法であり、「単なる高利益取引だった」と主張した。戦略」。マンゴー・マーケットとの合意にもかかわらず、アブラハム・アイゼンバーグは後にマンゴー・マーケットへの攻撃を画策したとしてSECから訴えられた。

Web 3.0 通貨業界はここ数年、エクスプロイトやハッキングの増加に悩まされています。しかし、プロトコルは盗まれた多額の資金を取り戻すことを期待して、攻撃者との交渉をさらに深めようとしているようだ。

通常、こうした交渉は公共の場所 (ソーシャル メディアや、攻撃者と被害者間のオンチェーン メッセージなど) で行われます。多くの場合、取引中に匿名のハッカーにメッセージを残すことが、ハッカーと連絡を取る唯一の方法です。

このような傾向は、特にプロジェクトが攻撃者を交渉に追い込む市場のインセンティブを生み出しているため、プロトコルと投資家のリスクが軽減され、より安全になっているという、Web 3.0 業界の変化が進んでいることを示している可能性があります。

この可能性をさらに探求するために、私たちはこれらの公開交渉とその最終結果を分析することによって、被害者が採用したさまざまな交渉戦略を調査したいと考えました。

副題

Poly Network

2021 年 8 月 10 日、ハッカーはPoly Networkコードのバグにより、十数種類の Web 3.0 通貨から資金が盗まれ、損失総額は 6 億 1,000 万ドルを超えました。同じ日、Poly Network はチェーン上の情報を通じてハッカーに直接連絡し、連絡を取るよう依頼しました。

最終合意では、資金が返還された場合にはハッカーに報奨金が与えられることが提案されていた。 Poly Networkはまた、ツイッター上でハッカーらに向けた公開書簡を公開し、「どの国の法執行機関もこれを重大な経済犯罪として扱い、責任を問われるだろう」と述べた。ポリネットワークは事件の最後に、ハッカーたちを「史上最大のホワイトハットハッカーとして記憶されることを願っている」と称賛さえした。

しかしハッカーは、そもそもPoly Networkに返信する前に、このプロトコルは、盗まれた資金を洗浄するつもりがない投資家やその他の人々に、彼らを促したり非難させたりするものだったと答えた。それだけでなく、このプロセス中も、ハッカーはトランザクション ノートを通じて Poly Network と通信を続けており、まずアルトコインを返却し、盗まれた USDT の凍結を解除できるかどうか尋ねる予定であると述べ、凍結の解除に成功した場合は盗んだものを返却すると述べています。 USDT、USDC。

Poly Network は質問に答えませんでしたが、翌日ハッカーが 3 つの Poly Network アドレスに資金を返し始めたため、これは正しい行動であるはずでした。

その後ハッカーらは、資金を返すために使用したマルチ署名ウォレットの最終キーを提供するとメッセージを送った。

最終的にハッカーは、マルチシグ アカウントに送信された盗まれたすべての資産を返却しました。

テザーによって凍結された 3,300 万ドル相当の USDT を除き、失われた資金のほとんどは Poly Network に返還されました。

その見返りに、Poly Network はハッカーが作成した別のアカウントに 160 ETH (約 486,000 ドル) のバグ報奨金を支払いました。しかし、ハッカーは報奨金を Poly Network に返還し、影響を受けた投資家に手数料を分配するよう要求しました。

リンクをコピーする【https://heystacks.com/doc/977/polynetwork-and-hacker-communicate副題

Allbridge

2023 年 4 月 1 日、オールブリッジは、BNB チェーン上の BUSD/USDT プールを標的とした攻撃を受けました。プロジェクトは当初、攻撃の影響を受けるのはこれらのBNBチェーンプールのみだったが、脆弱性は他のプールにも広がる可能性があると述べた。これを防ぐために、オールブリッジはブリッジプラットフォームを廃止し、流動性プールオペレーターが残高を引き出すためのWebインターフェースを作成しました。

Poly Network と同様に、Allbridge も攻撃直後にハッカーに報奨金を提供すると発表し、盗まれた資金が返還されればハッカーはいかなる法的影響も受けないと付け加えた。 4 月 3 日、チームは攻撃者から情報を受け取ったと発表し、1,500 BNB (約 465,000 ドル) がプロジェクトに返還されました。約10万8000ドル相当の資産がハッカーの手に残っている。

副題

Euler Finance 

Euler Financeこのハッキングは、2023 年現在までに脆弱性を利用した最大規模の攻撃です。

2023年3月13日、オイラー・ファイナンスの資金プールがフラッシュローン攻撃を受け、総額約1億9,700万米ドルの損失が発生した。

Poly Network や Allbridge の事件と同様に、Euler Finance は、攻撃者が残りの資産を返還した場合、攻撃者に 10% の報奨金を提示しました。

しかし、プロジェクトは交渉戦術に対してより積極的なアプローチをとっており、警告とともに報奨金の発表を行っており、攻撃者が資金の残りの90%を返さない場合、攻撃者に関する情報に対して100万ドルの報奨金を提供するというものだ。情報。この警告にもかかわらず、ハッカーは盗んだ資金約 178 万ドルを Tornado Cash に送金しました。

その後、ハッカーはオンチェーン メッセージを通じて Euler Finance に連絡しました。

3 月 21 日、Euler Finance は警告の行動を実行し、攻撃者が応答を停止した後、攻撃者に関する情報に対して 100 万ドルの報奨金を掛けました。4 日後、攻撃者は資金を Euler に返還して謝罪することを選択しました。

4月3日、オイラー・ファイナンスはツイッターアカウントで、ハッカーとの交渉の結果、「回収可能な資金」をすべて回収したと発表した。

副題

Sentiment Protocol

2023 年 4 月 4 日、Sentiment Protocol が攻撃を受け、100 万ドル近くを失いました。

4 月 5 日、Sentiment Protocol は Twitter アカウントで脆弱性を発表し、さらなる資金損失を軽減するために主契約 (引き出しのみを許可) を停止しました。

Sentiment Protocol は、攻撃者との交渉を申し出て、警告を発しながら報奨金を約束しました。攻撃者が 4 月 6 日までに資金を返さなかった場合、攻撃者に約束した「ホワイト ハット」の報奨金は、金を追い詰めるための報奨金になるとの警告を発しました。オールブリッジと同様に、このプロトコルでは、資金が返還された場合には攻撃者に対して法的措置をとらないことも約束しています。

翌日、Sentiment Protocol は、攻撃者が 4 月 6 日 8:00 UTC までに資金を返還した場合、95,000 ドルの報奨金を攻撃者に提示しました。

副題

グレイハットハッカーと交渉するにはどうすればよいですか?

この記事の 4 つのケースで見られるように、すべてのプロトコルは盗まれた資産と引き換えに報奨金を発行しました。

Euler Finance と Sentiment Protocol はどちらも攻撃者に警告します (攻撃者に関する情報には報奨金が与えられます)。 Allbridge と Sentiment Protocol も、資金が返還された場合にはハッカーに対して法的措置を講じないと発表したが、Poly Network は法執行機関に連絡することを明らかにした。

4件の合意のうち、「回収可能な」資金のうち2件は全額返還され、オールブリッジは2人目のハッカーと交渉を続けている。 Sentiment Protocol は 2 日間の交渉の後、資金の 90% を回収することに成功しました。

このことから、報奨金は攻撃者と交渉する非常に効果的な手段であることがわかります。ただし、特定の潜在的なリスクもあります。たとえば、攻撃者は報奨金を受け取った後も約束を履行せず、データの漏洩や再度の攻撃を続けます。また、一部の国や地域では報奨金の支払いに対して法的措置を講じる場合があります。

したがって、組織はリスクと合法性を評価し、身代金の支払いが安全に行われ、盗難された資産ができるだけ早く回復されるようにするための効果的な戦略を策定する必要があります。