Mitte August kam es in den USA erneut zu einem Hacker-Angriff auf ein amerikanisches Unternehmen: Poly Network, eine Firma, die auf den Transfer von Kryptowährungen spezialisiert ist, gerieten ins Netz der Hacker. Diese stellten dabei eine Summe in Höhe von 600,3 Millionen Dollar sicher - der größte Krypto-Diebstahl der Geschichte. Die Krypto-Forschungsfirma Elliptic teilte später mit, es seien nach dem Diebstahl jedoch Token im Wert von 258 Millionen Dollar direkt zurückgegeben worden. Elliptic Mitbegründer Tom Robinson begründet die Rückgabe damit, dass die Geldwäsche in solchen Höhen aufgrund der Transparenz der zugrundeliegenden Blockchain-Technologie ausgesprochen schwierig sei.
Poly Network reagiert prompt
Nur kurz nach dem Angriff auf ihr System veröffentlicht das Unternehmen ein Statement auf der Social Media Plattform Twitter, in welchem sie die Hacker unter anderem aufforderten mit ihnen in Kontakt zu treten und die erbeutete Summe zurückzugeben.
Poly Network rief zudem andere Unternehmen in der Branche auf, Token der Blockhains Ethereum, Binance Chain und des Netzwerks Polygon vorerst zu meiden. Diese Blockchains waren bei dem Angriff auf Poly Network betroffen.
Unerwartete Wendung: Hacker zahlt alle Assets zurück
Nur ein paar Tage nach dem Angriff wendet sich das Blatt: der Hacker, der für den Übergriff verantwortlich war, hat offenbar die gesamte erbeutete Summe zurückgezahlt. Nach eigenen Aussagen wollte er lediglich auf Sicherheitslücken hinweisen anstelle sich zu bereichern. Poly Network teilte über Twitter mit, dass sämtliche Ether-Werte übertragen worden seien. 252 Millionen Dollar in Binance-Token und 85 Millionen Dollar in Polygon waren davor bereits zurücküberwiesen worden. Poly Network spricht von dem mutmaßlichen Täter als “Mr. White Hat” - im Jargon der Sicherheitsbranche bezeichnet man so einen gutartigen Hacker.
Poly Network bietet “Finderlohn” für Aufdeckung der Schwachstellen
Der Hacker habe nach eigenen Angaben stets geplant, die Beträge zurückzugeben. Sein Diebstahl sollte nur die Schwachstellen der Software von Poly Network aufzeigen. Aufgrund dessen entschied sich Poly Network dazu, dem Hacker ein Bug-Bounty in Höhe von 500.00$ anzubieten, sobald die Rückerstattung vollständig vollzogen sei. Dies sei kein Lösegeld, sondern eine Belohnung dafür, dass gefährliche Schwachstellen im System aufgedeckt und die Sicherheit der Plattform durch den Angriff verbessert wurden. Bug-Bountys werden üblicherweise für das Melden von Sicherheitslücken an den Hersteller gezahlt. Das Unternehmen versicherte zudem, den Hacker für den Vorfall nicht zur Rechenschaft zu ziehen. Die Antwort des Hackers ließ nicht lange auf sich warten. Nur vier Minuten später teilte er mit, nicht auf die Belohnung reagiert zu haben und stattdessen alles Geld zurückschicken zu wollen. Bis auf 33 Millionen Dollar in Kryptowährung, welche kurz nach dem Bekanntwerden des Angriffs eingefroren wurden, ist dieser Vorgang inzwischen abgeschlossen.
Unerwartete Opfer des digitalen Raubzugs wolle der Täter zudem entschädigen - und zieht hierfür doch die von Poly Network angebotene Belohnung von Poly Network in Betracht. Hauptquelle der Entschädigungen sollen jedoch Spenden sein. Diese belaufen sich laut IT-Experte Robinson auf bisher ca. $4.000.
Andere öffentlichkeitswirksame Fälle von Cyber-Attacken finden Sie hier. Generelle Informationen zum Thema Ransomware finden Sie auf unserer Themenseite. Wie Sie Ihr Unternehmen am besten vor Ransomware schützen können erfahren Sie hier.