Tvrtka za infrastrukturu Web3 Jump Crypto i platforma za decentralizirano financiranje (DeFi) Oasis.app izveli su "kontraeksploataciju" na hakeru protokola Wormhole, pri čemu je dvojac povratio 225 milijuna dolara digitalne imovine i prebacio je u siguran novčanik.
Napad Wormhole dogodio se u veljači 2022., s otprilike 321 milijun dolara vrijednim omotanim ETH-om (wETH) iskorišteno putem ranjivosti u tokenu mosta protokola.
Haker je od tada prebacio ukradena sredstva kroz različite decentralizirane aplikacije (DApps) temeljene na Ethereumu, kao što je Oasis, koji je nedavno otvorio omotane stETH (wstETH) i Rocket Pool ETH (RETH) trezore.
U blogu od 24. veljače pošta, tim Oasis.app potvrdio je da je došlo do kontraeksploatacije, naglašavajući da je "primio nalog od Visokog suda Engleske i Walesa" za preuzimanje određenih sredstava povezanih s "adresom povezanom s Wormhole Exploitom".
Tim je izjavio da je pronalaženje pokrenuto putem "Oasis Multisiga i sudski ovlaštene treće strane", koja je identificirana kao Jump Crypto u prethodnom izvješću Blockworks Researcha.
Povijest transakcija oba trezora pokazuje da je Oasis premjestio 120,695 wsETH i 3,213 rETH 21. veljače i smjestio u novčanike pod kontrolom Jump Crypto. Haker je također imao oko 78 milijuna dolara duga u MakerDAO Dai (DAI) stablecoin, koji je pronađen.
“Također možemo potvrditi da je imovina odmah proslijeđena u novčanik koji je kontrolirala ovlaštena treća strana, kao što je propisano sudskim nalogom. Ne zadržavamo kontrolu niti pristup ovoj imovini”, stoji u objavi na blogu.
Osvrćući se na negativne implikacije mogućnosti Oasis-a da dohvati kripto imovinu iz svojih korisničkih trezora, tim je naglasio da je to "moguće samo zbog prethodno nepoznate ranjivosti u dizajnu administratorskog multisig pristupa."
Povezano: DeFi sigurnost: Kako mostovi bez povjerenja mogu pomoći u zaštiti korisnika
U objavi je navedeno da su hakeri s bijelim šeširima ranije ovog mjeseca istaknuli takvu ranjivost.
“Naglašavamo da je ovaj pristup postojao s jedinom namjerom zaštite korisničke imovine u slučaju bilo kakvog potencijalnog napada i omogućio bi nam da brzo krenemo kako bismo zakrpali svaku ranjivost koja nam je otkrivena. Treba napomenuti da niti u jednom trenutku, u prošlosti ili sadašnjosti, korisnička sredstva nisu bila u opasnosti da im pristupi bilo koja neovlaštena strana.”
- foobar (@ 0xfoobar) Veljače 24, 2023
Izvor: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m