Jump Crypto, isang Web3 infrastructure provider, at Oasis.app, a desentralisadong pananalapi (DeFi) platform, ay nagsagawa ng "counter exploit" sa Wormhole protocol hacker. Bilang resulta, na-reclaim ng pares ang $225 milyon na halaga ng mga digital asset at inilipat ang mga ito sa isang secure na wallet.
Ang Wormhole hack ay naganap noong Pebrero 2022 at nagresulta sa pagnanakaw ng humigit-kumulang $321 milyon na halaga ng nakabalot na Ethereum (wETH) sa pamamagitan ng pagsasamantala sa isang kahinaan sa token bridge ng protocol.
Simula noon, inilipat ng hacker ang mga ninakaw na asset gamit ang ilang Ethereum-based na decentralized services (DApps), gaya ng Oasis, na kamakailan ay nagbukas ng mga vault para sa nakabalot na stETH (wstETH) at Rocket Pool ETH (RETH).
Kinumpirma ng koponan ng Oasis.app ang pagkakaroon ng counter exploit sa isang blog post na na-publish noong Pebrero 24. Ipinaliwanag ng post na ang team ay "nakatanggap ng utos mula sa High Court of England at Wales" upang kunin ang ilang partikular na asset na nauugnay na may "address na nauugnay sa Wormhole Exploit."
Ayon sa koponan, sinimulan ang pagbawi gamit ang "Oasis Multisig at isang third party na pinahintulutan ng korte," na pinangalanan bilang Jump Crypto sa isang naunang ulat mula sa Blockworks Research. Ang ulat ay nagpahiwatig din na ang pagkuha ay matagumpay.
Ayon sa mga kasaysayan ng transaksyon ng parehong mga vault, inilipat ng Oasis ang 120,695 wsETH at 3,213 rETH noong Pebrero 21 at iniimbak ang mga ito sa mga wallet na kinokontrol ng Jump Crypto. Ang hacker ay natagpuan din na mayroong humigit-kumulang $78 milyon na halaga ng utang sa MakerDAO stablecoin na kilala bilang Dai (DAI), na ibinalik.
"Nagagawa rin naming patunayan na ang mga asset ay inilipat nang walang pagkaantala sa isang wallet na pinamamahalaan ng pinahihintulutang third party, gaya ng hiniling ng desisyon ng korte." Nakasaad sa blog post na "hindi namin pinapanatili ang anumang kontrol o access sa mga asset na ito."
Sinalungguhitan ng kumpanya na ito ay "maiisip lamang dahil sa dati nang hindi natuklasang kahinaan sa arkitektura ng admin multisig access," bilang pagtukoy sa mga negatibong epekto ng Oasis na makakolekta ng mga crypto asset mula sa mga vault ng gumagamit nito.
Ayon sa publikasyon, ang isang kahinaan ng ganitong uri ay inihayag sa unang bahagi ng buwang ito ng mga hacker na may suot na puting sumbrero.
Nais naming bigyang-diin na ang pag-access na ito ay ipinatupad na may malinaw na layunin ng pagprotekta sa mga asset ng user sa kaso ng isang posibleng pag-atake, at na ito ay magbibigay-daan sa amin na tumugon nang mabilis upang ayusin ang anumang mga kahinaan na dinala sa aming pansin. Mahalagang bigyang-diin na ang mga asset ng mga user ay hindi kailanman nasa panganib na ma-access ng isang hindi awtorisadong third party, ni sa nakaraan o sa kasalukuyan.
Pinagmulan: https://blockchain.news/news/oasisapp-and-jump-crypto-retrieve-225-million-in-crypto