Poly Network为肇事黑客谋公差，封官授爵还是请君入瓮？

 

 

Poly Network为肇事黑客谋公差，封官授爵还是请君入瓮？

掀起过大事的人，也很容易摊上事。对于风光过的人，隐姓埋名可能是一种奢望，因为江湖有人不愿放手。

上周，某黑客利用安全漏洞，从区块链跨链互操作协议公司Poly Network窃取了价值超过6亿美元的加密货币资产，但出于安全考量，他在随后一段时间返还了到手的部分资金，数额超过2.6亿。

切换到Poly Network的视角里，这一两周的它像一列停不下来的过山车。巨额资金出走之后，它自然闲不下来脚步，马不停蹄地周旋游走在客户与黑客之间。作为事件中的乙方，Poly Network对黑客甲方相当殷勤，甚至有些讨好的意味，从口径统一的“白帽先生”称谓可见一斑。除了指称上的讲究，这家公司最近还向肇事者抛出橄榄枝，请求对方担任中国区块链业务的首席安全顾问。

Poly Network称，他们无意追究白帽先生的法律责任，因为公司相信他会尽快返还所涉资产的全部控制权。起初，由于沟通匮乏，他们与白帽先生间存在误解。公司现在认识到，对于加密领域 的未来，白帽先生与他们有着共同的愿景。

为了表明自己的诚意，Poly Network早前向这位黑客转账了50万美元以太币的漏洞奖金。尽管黑客称自己不打算接受这笔钱，但账户自有入口，并不需要持有人开口放行。因此，这笔钱目前算是妥善住进了黑客的钱包。此外，Poly Network又更近一步地表示，他们在公司内部为白帽先生谋得了首席安全顾问的差事，期待未来有更多像白帽先生这样的技术专家加入Poly Network，一起筑造更安全稳健的分布式系统。

搭起了戏台的Poly Network，能否请来它的白帽先生？根据双方目前的通信来看，白帽先生签约的可能性不大。首先，被窃取的加密资产中，还有2.38亿没有被吐出来，这位黑客表示自己还没有准备好交出存放资金钱包的密钥。其次，他曾说攻击Poly Network只是为了取乐，顺便奚落一下他们的编程系统。没准在他看来，“首席安全顾问”并非什么香饽饽，去了反而自降身价。

Poly Network和它的白帽先生各有各的算盘。由钱牵起的缘分，成分表里一开始就少了真诚。

 

阿富汗事件：塔利班会否被社交媒体另眼相待？

现如今的社交媒体，是政治家对外沟通和亲和选民的一个重要渠道。除了在Facebook，Twitter，YouTube等平台上开设私人帐户，他们也用这些平台充当了官方的发声筒。

主流媒体一直以来对恐怖主义组织保有明确的拒绝姿态。当塔利班时隔20年重新掌权阿富汗，社交媒体平台的困境也显而易见：若一个一直被视为叛乱的、由恐怖主义者簇拥而成的组织成为了一个独立国家的管理者，他们在社交媒体中的权益限度是否应该被重新审视？

这是一个两难的问题。恐怖组织与国家政府的身份在塔利班身上实现了重合，如果社交媒体集体对塔利班保持强硬立场，信息的屏蔽范围便不仅仅是一个政客，而是一个独立国家的政府。但如果向塔利班开放社交媒体这片广阔疆域，它们是否会沦为塔利班的练兵场？

Facebook和YouTube表示，根据美国的制裁政策，塔利班无法正当使用这两个平台。Twitter并没有明确的禁令，但它会删除平台上涉及暴力的内容。不过，专家表示，如果塔利班政权在国际社会获得公开承认，最终可能会有更多的社交媒体公司为其松绑。

 

Fortinet指责Rapid7提前公布漏洞细节

当一个产品漏洞被安全研究员察觉之后，通常都有一段保密期，以便推出补丁。有时候沟通不到位，可能出现漏洞详情先于补丁问世的情况，这种微妙关头，一场争执的酝酿不可避免。

本周二，网络安全公司Rapid7因提前公布Fortinet旗下网页应用防火墙产品FortiWeb的漏洞报告，受到了Fortinet的抨击。

Rapid7介绍，公司研究人员William Vu在FortiWeb管理界面的6.3.11及更早前版本中，发现了一个操作系统命令注入漏洞，这一漏洞允许远程的、经过身份验证的攻击者，通过SAML服务器配置页面，在系统上执行任意命令。

报告中的时间线表明，Rapid7就此漏洞与Fortinet初次交涉的时间是在今年6月。6月11日，Fortinet确认了该漏洞的存在。Rapid7声明，直到周二发布漏洞报告，期间他们再未和Fortinet取得进一步的联络。因此他们按照自己的保密期政策，在发现漏洞的60天后公布了细节。

Fortinet则表示，他们原本以为Rapid7会遵守Fortinet要求的90天保密期约定，等到保密期结束后才会公布漏洞细节。由于Rapid7行动太过突然，他们还没有准备好针对这一漏洞的修复补丁。