Últimas notícias

Fique informado
A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network

A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network

18 de agosto de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança

A lista conta com jornalistas, ativistas, chefes de Estado, diplomatas, políticos e líderes religiosos, dentre outros.

28 de julho de 2021

Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

Todos os sites dos operadores do ransomware REvil saíram do ar na terça-feira passada

21 de julho de 2021

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

O incidente na Kaseya resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

14 de julho de 2021

O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest

Criminosos permaneceram por quatro anos na rede dos hotéis do Marriott e 500 milhões de pessoas foram afetadas

20 de dezembro de 2018

A menção a Dâmocles no segundo posicionamento da Poly Network para extinguir “o incêndio”, teve intenção cirúrgica

Um drama de múltiplos sentidos em que, quem comanda o maior roubo de criptoativos da história, devolve parte do dinheiro dizendo que foi tudo por diversão e ainda pode ter garantida uma recompensa de 500 mil. 

Por Carlos Cabral

Carlos Cabral
Carlos Cabral

“A segurança de ativos é a espada de Dâmocles que paira sobre toda a indústria de criptoativos”.  É com a mítica afirmação acima que a Poly Network abre o comunicado oficial publicado no último sábado, sobre os mais recentes passos que a empresa deu no sentido de recuperar seu ambiente, seu caixa e sua imagem do incidente ocorrido na semana passada.

Operando como uma plataforma de cross chain, a Poly Network permite a interoperabilidade entre diversas blockchains em um sistema que, segundo eles, foi produzido com o objetivo de “construir a infraestrutura de Internet da próxima geração“.

Esta infra foi alvo de um colossal ataque em que aproximadamente de 600 milhões de dólares em criptoativos, por volta 3.1 bilhões de reais, foram roubados.

A empresa apelou aos ladrões para que devolvessem o dinheiro roubado por meio de uma carta publicada no Twitter que dizia educadamente que o volume era alto demais para passar despercebido.

A mensagem teve efeito e os atacantes passaram a devolver os ativos de modo que até o final da semana passada, já haviam sido devolvidos aproximadamente duzentos e setenta milhões de dólares em criptomoedas.

Dâmocles

A menção a Dâmocles no segundo posicionamento público da empresa sobre o caso, o qual visava apresentar os planos da Poly Network para extinguir “o incêndio”, teve intenção cirúrgica. 

Dâmocles é o personagem de uma história (ao que tudo indica, apócrifa) que invejava a riqueza e os privilégios de seu rei, Dionísio II de Siracusa, o qual propõe trocar de posição com ele por um dia.  

Após tomar posse do trono, Dâmocles percebe que havia uma espada pendurada sobre sua cabeça, sustentada por uma fina linha.

Ele então pergunta o que seria aquilo. Dionísio II diz que o desconforto de ter uma espada pairando sobre sua cabeça simbolizava o risco com o qual ele, por ser rei, lidava todos os dias. Pois o resultado de suas decisões poderia, a qualquer momento, cobrar seu preço.

É claro que, percebendo o desconforto da situação, Dâmocles desfez o acordo de ser rei por um dia e nunca mais invejou o trono do monarca.

Ao usar essa alegoria para falar do incidente, a Poly Network quer demonstrar que o risco de perder dinheiro por problemas de segurança seria algo típico da natureza da indústria de criptoativos, numa tentativa de humanizar a falha, dando um tom de que esse é o preço que os grandes, os pioneiros ou os desbravadores podem ter que pagar pela inovação.

O caso se tornou o maior incidente envolvendo criptoativos na história, mas também demonstra que uma sutil escolha de palavras pode afetar os stakeholders de diversas formas pois, em meio a um incidente, a comunicação é tão importante quanto o retorno à normalidade ou até a busca por responsáveis.

Mr. White Hat

Há muita especulação a respeito de quem seriam os bandidos, ou até mesmo se seriam bandidos, mas sem nenhuma determinação clara até o momento em que fecho essa coluna. Outro questionamento relevante é o motivo pelo qual os atacantes estariam devolvendo o produto do roubo.

Sobre estes e outros temas, circulou um Q&A em que o suposto atacante, além de dizer que a Poly Network se tornou alvo do ataque porque “Cross Chain Hacking is Hot”, afirma que o ataque aconteceu por pura diversão.  

Sobre o motivo da devolução do dinheiro, ele ou ela somente diz “whatever :)”.

Sob a narrativa arrogante pode haver o receio de ser preso e isso pode ser uma das razões por trás da devolução dos ativos, mas também faz mais sentido exercitar a perspectiva considerando o volume de ativos em relação ao esforço, o custo e o risco de convertê-los em dinheiro para o uso prático do dia a dia.

Mesmo com a paciência para esperar anos até a poeira baixar, haveria a necessidade de lavar o dinheiro e essa não é uma operação simples. Gangues de ransomware geralmente usam serviços do underground para isso, mas em volumes menores.

Ou seja, talvez o trabalho de diluir a rastreabilidade dos ativos demandaria o contato com outras pessoas e o esforço de garantir a segurança dessa comunicação de modo a não deixar rastros que poderiam ser notados pelas forças de segurança seria algo que poderia demandar uma infraestrutura complexa.

Algo que uma Coreia do Norte, por exemplo, poderia suportar, mas que talvez fosse intolerável para um pequeno grupo, ou para um indivíduo isolado.

Ou seja, talvez o atacante tenha vivenciado uma escolha de Dâmocles: tendo sentado no trono de 600 milhões de dólares, encarado a espada sobre sua cabeça e percebido que não estava em condições de sustentar aquela posição.

Por outro lado, a Poly Network se comprometeu em pagar 500 mil dólares em bug bounty ao atacante, que foi denominado em seus blogposts pela respeitosa (e ao mesmo tempo dissimulada) alcunha de Mr. White Hat

Sob a perspectiva da indústria de criptoativos a recompensa pode abrir um precedente perigoso em que outras pessoas poderão se sentir livres para atacar empresas desse ramo e cobrar uma recompensa para devolver os ativos, mas para quem levou os 600 milhões da Poly Network, caso seja possível manter o anonimato na transação, vale mais a pena aceitar a recompensa e devolver o resto. Pois enquanto isso, a espada ainda paira sobre sua cabeça.