Jump Crypto, πάροχος υποδομής Web3, και Oasis.app, α αποκεντρωμένη χρηματοδότηση (DeFi), πραγματοποίησαν μια «αντι εκμετάλλευση» στον χάκερ του πρωτοκόλλου Wormhole. Ως αποτέλεσμα, το ζευγάρι έχει ανακτήσει ψηφιακά περιουσιακά στοιχεία αξίας 225 εκατομμυρίων δολαρίων και τα μετέφερε σε ένα ασφαλές πορτοφόλι.
Το Wormhole hack έλαβε χώρα τον Φεβρουάριο του 2022 και είχε ως αποτέλεσμα την κλοπή περιτυλιγμένου Ethereum (wETH) αξίας περίπου 321 εκατομμυρίων δολαρίων, εκμεταλλευόμενη μια αδυναμία στη συμβολική γέφυρα του πρωτοκόλλου.
Έκτοτε, ο χάκερ έχει μεταφέρει τα κλεμμένα περιουσιακά στοιχεία χρησιμοποιώντας μια σειρά αποκεντρωμένων υπηρεσιών (DApps) που βασίζονται στο Ethereum, όπως το Oasis, το οποίο πρόσφατα άνοιξε θησαυροφυλάκια για το τυλιγμένο stETH (wstETH) και το Rocket Pool ETH (RETH).
Η ομάδα του Oasis.app επιβεβαίωσε την ύπαρξη αντικαταθλιπτικής εκμετάλλευσης σε μια ανάρτηση ιστολογίου που δημοσιεύθηκε στις 24 Φεβρουαρίου. Η ανάρτηση εξήγησε ότι η ομάδα "είχε λάβει εντολή από το Ανώτατο Δικαστήριο της Αγγλίας και της Ουαλίας" για την ανάκτηση ορισμένων περιουσιακών στοιχείων που σχετίζονται με τη «διεύθυνση που σχετίζεται με το Wormhole Exploit».
Σύμφωνα με την ομάδα, η ανάκτηση ξεκίνησε χρησιμοποιώντας «το Oasis Multisig και ένα εξουσιοδοτημένο από το δικαστήριο τρίτο μέρος», το οποίο ονομάστηκε Jump Crypto σε μια προηγούμενη αναφορά από την Blockworks Research. Η αναφορά ανέφερε επίσης ότι η ανάκτηση ήταν επιτυχής.
Σύμφωνα με τα ιστορικά συναλλαγών και των δύο θυρίδων, η Oasis μετέφερε 120,695 wsETH και 3,213 rETH στις 21 Φεβρουαρίου και τα αποθήκευσε σε πορτοφόλια που ελέγχονται από το Jump Crypto. Ο χάκερ διαπιστώθηκε επίσης ότι είχε χρέος περίπου 78 εκατομμυρίων δολαρίων στο MakerDAO stablecoin γνωστό ως Dai (DAI), το οποίο επιστράφηκε.
«Είμαστε επίσης σε θέση να πιστοποιήσουμε ότι τα περιουσιακά στοιχεία μεταφέρθηκαν χωρίς καθυστέρηση σε ένα πορτοφόλι που διαχειρίζεται το εξουσιοδοτημένο τρίτο μέρος, όπως ζητούσε η δικαστική απόφαση». Στην ανάρτηση ιστολογίου αναφέρεται ότι «δεν διατηρούμε κανέναν έλεγχο ή πρόσβαση σε αυτά τα περιουσιακά στοιχεία».
Η εταιρεία υπογράμμισε ότι ήταν «δυνατό μόνο λόγω μιας αδυναμίας που δεν είχε ανακαλυφθεί προηγουμένως στην αρχιτεκτονική της πρόσβασης πολλαπλών σημείων διαχείρισης», σε σχέση με τις αρνητικές συνέπειες του Oasis να μπορεί να συλλέγει περιουσιακά στοιχεία κρυπτογράφησης από τα θησαυροφυλάκια χρηστών του.
Σύμφωνα με το δημοσίευμα, μια ευπάθεια αυτού του είδους είχε φανεί νωρίτερα αυτό το μήνα από χάκερ που φορούσαν λευκά καπέλα.
Θα θέλαμε να τονίσουμε ότι αυτή η πρόσβαση υλοποιήθηκε με ρητό σκοπό τη διαφύλαξη των περιουσιακών στοιχείων των χρηστών σε περίπτωση πιθανής επίθεσης και ότι θα μας επέτρεπε να ανταποκριθούμε γρήγορα για να διορθώσουμε τυχόν ευπάθειες που τέθηκαν υπόψη μας. Είναι σημαντικό να τονιστεί ότι τα περιουσιακά στοιχεία των χρηστών δεν κινδύνευσαν ποτέ να αποκτήσουν πρόσβαση από μη εξουσιοδοτημένο τρίτο μέρος, ούτε στο παρελθόν ούτε στο παρόν.
Πηγή: https://blockchain.news/news/oasisapp-and-jump-crypto-retrieve-225-million-in-crypto