Web3 infrastrukturní firma Jump Crypto a decentralizovaná finanční (DeFi) platforma Oasis.app provedly „counter exploit“ na hackerovi protokolu Wormhole, přičemž duo získalo zpět 225 milionů dolarů digitálních aktiv a převedlo je do bezpečné peněženky.
K útoku Wormhole došlo v únoru 2022, s zabaleným ETH (wETH) v hodnotě zhruba 321 milionů dolarů. zneužito prostřednictvím zranitelnosti v mostě tokenů protokolu.
Hacker od té doby přesunul ukradené prostředky prostřednictvím různých decentralizovaných aplikací (DApps) založených na Ethereu, jako je Oasis, která nedávno otevřela zabalené trezory stETH (wstETH) a Rocket Pool ETH (RETH).
V blogu ze 24. února zveřejnittým Oasis.app potvrdil, že došlo k zneužití, přičemž uvedl, že „obdržel příkaz od Nejvyššího soudu Anglie a Walesu“ k načtení určitých aktiv souvisejících s „adresou spojenou s exploitem Wormhole“.
Tým uvedl, že vyhledávání bylo zahájeno prostřednictvím „Oasis Multisig a soudem autorizované třetí strany“, která byla v předchozí zprávě společnosti Blockworks Research označena jako Jump Crypto.
Historie transakcí obou trezorů ukazuje, že Oasis přesunul 120,695 3,213 wsETH a 21 78 rETH XNUMX. února a umístil je do peněženek pod kontrolou Jump Crypto. Hacker měl také dluh kolem XNUMX milionů dolarů v Dai společnosti MakerDAO (DAI) stablecoin, který byl získán.
„Můžeme také potvrdit, že aktiva byla okamžitě převedena do peněženky kontrolované oprávněnou třetí stranou, jak vyžaduje soudní příkaz. Nemáme žádnou kontrolu ani přístup k těmto aktivům,“ píše se v příspěvku na blogu.
S odkazem na negativní důsledky toho, že Oasis bude moci získávat krypto aktiva ze svých uživatelských trezorů, tým zdůraznil, že to bylo „možné pouze díky dříve neznámé zranitelnosti v návrhu administrátorského multisig přístupu“.
Související: Zabezpečení DeFi: Jak mohou nedůvěryhodné mosty pomoci chránit uživatele
Příspěvek uvedl, že na tuto zranitelnost upozornili hackeři white hat začátkem tohoto měsíce.
„Zdůrazňujeme, že tento přístup zde byl s jediným záměrem chránit uživatelská aktiva v případě jakéhokoli potenciálního útoku a umožnil by nám rychle opravit jakoukoli zranitelnost, která nám byla odhalena. Je třeba poznamenat, že v žádném okamžiku, v minulosti ani současnosti, nebyla uživatelská aktiva vystavena riziku přístupu jakékoli neoprávněné strany.“
- foobar (@ 0xfoobar) Února 24, 2023
Zdroj: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m