Podjetje za infrastrukturo Web3 Jump Crypto in platforma za decentralizirano financiranje (DeFi) Oasis.app sta izvedla "protiizkoriščanje" hekerja protokola Wormhole, pri čemer je dvojec pridobil nazaj 225 milijonov dolarjev digitalnih sredstev in jih prenesel v varno denarnico.
Napad Wormhole se je zgodil februarja 2022 z zavitim ETH (wETH) v vrednosti približno 321 milijonov dolarjev. izkoriščen prek ranljivosti v žetonskem mostu protokola.
Heker je od takrat ukradena sredstva preselili prek različnih decentraliziranih aplikacij (DApps), ki temeljijo na Ethereumu, kot je Oasis, ki je nedavno odprla zavite trezorje stETH (wstETH) in Rocket Pool ETH (RETH).
V blogu z dne 24. feb objava, je ekipa Oasis.app potrdila, da je prišlo do nasprotnega izkoriščanja, in poudarila, da je »prejela nalog višjega sodišča Anglije in Walesa« za pridobitev določenih sredstev, povezanih z »naslovom, povezanim z izkoriščanjem črvine luknje«.
Skupina je navedla, da se je iskanje začelo prek "Oasis Multisig in sodno pooblaščene tretje osebe," ki je bila v prejšnjem poročilu Blockworks Research identificirana kot Jump Crypto.
Zgodovina transakcij obeh trezorjev kaže, da je Oasis 120,695. februarja premaknil 3,213 wsETH in 21 rETH ter jih dal v denarnice pod nadzorom Jump Crypto. Heker je imel tudi okoli 78 milijonov dolarjev dolga v Daiju podjetja MakerDAO (DAI) stablecoin, ki je bil pridobljen.
»Prav tako lahko potrdimo, da so bila sredstva takoj prenesena v denarnico, ki jo nadzoruje pooblaščena tretja oseba, kot zahteva sodni nalog. Ne obdržimo nadzora ali dostopa do teh sredstev,« piše v objavi v blogu.
Ob sklicevanju na negativne posledice tega, da Oasis lahko pridobi kripto sredstva iz svojih uporabniških trezorjev, je ekipa poudarila, da je to "mogoče le zaradi prej neznane ranljivosti v zasnovi skrbniškega dostopa z več vpisi."
Povezano: Varnost DeFi: Kako lahko nezaupljivi mostovi pomagajo zaščititi uporabnike
V objavi je navedeno, da so na takšno ranljivost v začetku tega meseca opozorili hekerji z belimi klobuki.
»Poudarjamo, da je bil ta dostop tam z edinim namenom zaščititi sredstva uporabnika v primeru morebitnega napada in bi nam omogočil, da hitro popravimo vsako ranljivost, ki nam je bila razkrita. Opozoriti je treba, da na nobeni točki, v preteklosti ali sedanjosti, uporabniška sredstva niso bila v nevarnosti, da bi katera koli nepooblaščena oseba dostopala do njih.«
- foobar (@ 0xfoobar) Februar 24, 2023
Vir: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m