El hacker de SafeMoon dijo que el exploit no fue intencionado y que planean devolver la mayor parte de los fondos.
El atacante que drenó 8,9 millones de dólares de BNB de SafeMoon ha aceptado devolver el 80% de los fondos, según un mensaje de blockchain del 18 de abril del equipo de SafeMoon.
SafeMoon es un protocolo financiero descentralizado (DeFi) que funciona con la cadena BNB. Fue pirateado el 28 de marzo, lo que provocó una pérdida de 27.000 BNB, valorados en 8,9 millones de dólares en aquel momento.
El 18 de abril, a la 1:19 p.m. UTC, la cuenta SafeMoon Deployer publicó una transacción en la red BNB con la dirección del atacante como destinatario. La transacción contenía un mensaje codificado en formato de transformación Unicode de 8 bits (UTF-8) que decía lo siguiente:
“SafeMoon ha llegado a un acuerdo con la parte que actualmente retiene los fondos. En concreto, SafeMoon ha acordado aceptar el 80 por ciento de la cantidad devuelta, reteniendo la otra parte el resto como recompensa. SafeMoon ha acordado además no emprender acciones legales contra ellos. Después de considerar cuidadosamente las circunstancias, se cree que esto es lo mejor para SafeMoon y la comunidad.”
El mensaje codificado es el último de una serie de comunicaciones entre el equipo de SafeMoon y el atacante mientras las partes intentaban llegar a un acuerdo. El 29 de marzo, el atacante afirmó que había vaciado los fondos accidentalmente.
El equipo respondió el mismo día, pidiendo al atacante que ofreciera una cuenta de Telegram para poder contactar con él. El atacante no proporcionó ninguna dirección de Telegram, pero sí una dirección de correo electrónico anónima de Outlook. El equipo declaró entonces: “Mensaje de correo electrónico enviado. 12:33 UTC”.
No hubo más comunicación en blockchain entre ambas partes hasta el mensaje del 18 de abril en el que se confirmaba que se había llegado a un acuerdo.
Hackear los protocolos de DeFI y negociar para quedarse con algunos fondos se ha vuelto común recientemente. El 4 de abril, el atacante de Euler Finance, que previamente había drenado más de 196 millones de dólares de Euler, emitió un mensaje de disculpa y devolvió casi todos los fondos obtenidos del ataque. El 6 de abril, el atacante que había sustraído 967.000 dólares en criptomonedas de Sentiment devolvió casi el 90% después de que el equipo accediera a dejarle quedarse con la cantidad restante.
Algunos desarrolladores de Web3 han argumentado que las recompensas por fallos deberían ser mayores y que los equipos de desarrollo deberían ser más diligentes a la hora de pagarlas, ya que alegan que esto podría motivar a los hackers a informar de los fallos en lugar de explotarlos.
