Web3 infrastruktūras uzņēmums Jump Crypto un decentralizētās finanšu (DeFi) platforma Oasis.app ir veikuši Wormhole protokola hakeru "pretizmantošanu", duetam atgūstot 225 miljonus ASV dolāru digitālo aktīvu un pārskaitot tos drošā makā.
Uzbrukums Wormhole notika 2022. gada februārī ar aptuveni 321 miljonu dolāru vērtu iesaiņotu ETH (wETH) tiek izmantots, izmantojot ievainojamību protokola žetonu tiltā.
Hakeris ir kopš pārvietoja nozagtos līdzekļus izmantojot dažādas uz Ethereum balstītas decentralizētas lietojumprogrammas (DApps), piemēram, Oasis, kas nesen atvēra iesaiņotās stETH (wstETH) un Rocket Pool ETH (RETH) glabātuves.
24. februāra emuārā nosūtīt, Oasis.app komanda apstiprināja, ka ir notikusi pretdarbība, norādot, ka tā ir “saņēmusi Anglijas un Velsas Augstākās tiesas rīkojumu” atgūt noteiktus īpašumus, kas saistīti ar “adresi, kas saistīta ar Wormhole Exploit”.
Komanda norādīja, ka izguve tika uzsākta, izmantojot "Oasis Multisig un tiesas pilnvarotu trešo pusi", kas iepriekšējā Blockworks Research ziņojumā tika identificēta kā Jump Crypto.
Abu glabātuvju darījumu vēsture liecina, ka Oasis 120,695. februārī pārvietoja 3,213 21 wsETH un 78 XNUMX rETH un ievietoja makos Jump Crypto kontrolē. Hakerim bija arī aptuveni XNUMX miljonu dolāru parāds MakerDAO Dai (DAI) stabilu monētu, kas tika izgūta.
“Varam arī apstiprināt, ka aktīvi tika nekavējoties nodoti makā, kuru kontrolē pilnvarotā trešā puse, kā to prasa tiesas rīkojums. Mēs nesaglabājam nekādu kontroli vai piekļuvi šiem īpašumiem,” teikts emuāra ierakstā.
Atsaucoties uz negatīvajām sekām, ko rada Oasis spēja izgūt kriptovalūtus no savām lietotāju glabātuvēm, komanda uzsvēra, ka tas ir "iespējams tikai iepriekš nezināmas ievainojamības dēļ administratora multisig piekļuves dizainā".
Saistītie: DeFi drošība: kā neuzticami tilti var palīdzēt aizsargāt lietotājus
Ziņojumā bija teikts, ka šādu ievainojamību šī mēneša sākumā uzsvēra balto cepuru hakeri.
"Mēs uzsveram, ka šī piekļuve tika nodrošināta ar vienīgo nolūku aizsargāt lietotāju īpašumus jebkura potenciāla uzbrukuma gadījumā, un tā būtu ļāvusi mums ātri izlabot jebkuru mums atklāto ievainojamību. Jāņem vērā, ka ne pagātnē, ne tagadnē lietotāju īpašumiem nav bijis risks, ka tiem varētu piekļūt kāda nesankcionēta puse.
- foobar (@ 0xfoobar) Februāris 24, 2023
Avots: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m