Виноват хакер. Если в кошельке была серьезная уязвимость, которая позволила получить доступ к сотням кошельков, то пользоваться ей и красть средства является преступлением. Если разработчики кошелька не оставили эту дыру намеренно и не были в сговоре с хакерами, то вряд ли к ним будут применены какие-то санкции. Часто бывает так, что хакеру предлагают оставить часть средств в качестве вознаграждения за найденный баг и обещают отказаться от претензий и преследования, но в данном случае это вряд ли возможно, так как разработчики не имеют права распоряжаться деньгами пользователей. Единственное, что они могут сделать для сохранения компании - это возместить все потери, открыть исходный код и возможно сократить количество предлагаемых сервисов поддерживаемых монет, так это пагубно влияет на безопасность кошелька.
Скорее всего не тот случай, когда хакер что либо вернет заключая сделки, потому что уже есть информация, что украденные средства мошенник отмывает через миксер Sinbad.io. 
Ранее определили, что этим сервисом пользовались северокорейские хакеры из Lazarus Group, но но сейчас нету никакой информации, поскольку хакер, или хакеры остаются неизвестны. Пока что так же нету точной суммы, которая была отправлены в миксер, известно только, что все было конвертировано в биткоин. Пока что все выглядит не очень оптимистично.