O hacker responsável por orquestrar o maior ataque a um projeto de finanças descentralizadas (DeFi) da história, começou a devolver parte dos US$ 611 milhões roubados do Poly Network na terça (10). Mas ainda é uma parte muito pequena perto que roubou.
Após deixar diversos recados embutidos em transações ironizando toda a situação, o invasor continuou com a sua comunicação atípica ao anunciar que iria devolver parte das quantias roubadas criando uma nova criptomoeda chamada “o hacker está pronto para se render”.
Ele seguiu com a promessa e, até o momento, devolveu US$ 1 milhão em USDC na blockchain Polygon, US$ 2 milhões em Shiba Inu e US$ 600 mil em FEI na rede Ethereum, e mais US$ 1,1 milhão em BTCB — token lastreado ao bitcoin na Binance Smart Chain.
A quantia devolvida não passa de US$ 4,7 milhões, menos de 1% de tudo que ele roubou — foram US$ 273 milhões em tokens no Ethereum, US$ 253 milhões em tokens na Binance Smart Chain e US$ 85 milhões em USDC na Polygon.
A expectativa é que o invasor continue com as devoluções no futuro. Ele disse que estava com dificuldades de contatar a equipe do Poly Network e pediu uma carteira multisig segura para encaminhar as criptomoedas. Em seguida, o projeto divulgou no Twitter três endereços no Ethereum, Binance Smart Chain e Polygon.
Hacker bonzinho?
O pool de negociação O3 que precisou suspender seus serviços que dependiam da Poly Network para funcionar, sugeriu que ao estar disposto a devolver os fundos, o hacker poderia ser do tipo chapéu branco, como são chamados os hackers do bem.
Em outra mensagem, no entanto, o invasor pregou o fim das DAOs — organizações autônomas descentralizadas que não precisam de intermediários para processar transações —, dizendo: “Já é uma lenda ganhar tanta fortuna. Será uma lenda eterna para salvar o mundo. Eu tomei a decisão, chega de DAO”.
Ainda são desconhecidos os detalhes de como o invasor conseguiu orquestrar o maior ataque da história a um projeto DeFi. A equipe do Poly Network disse apenas que após uma investigação preliminar, identificou que o hacker explorou uma vulnerabilidade entre as chamadas de contrato – quando o usuário solicita uma função específica de um contrato inteligente, mas sem publicar nada na blockchain, como em uma transação.
Desse modo, o projeto descartou os rumores de que a exploração tinha sido causada por um único detentor.
