Web3 infrastruktūros įmonė Jump Crypto ir decentralizuoto finansavimo (DeFi) platforma Oasis.app atliko „priešinį išnaudojimą“ su Wormhole protokolo įsilaužėliu, duetu susigrąžinant 225 mln. USD skaitmeninio turto ir perkeliant juos į saugią piniginę.
„Wormhole“ ataka įvyko 2022 m. vasario mėn., kai suvyniotas ETH (wETH) už maždaug 321 mln. išnaudojamas per pažeidžiamumą protokolo žetoniniame tilte.
Nuo to laiko įsilaužėlis turi perkėlė pavogtas lėšas per įvairias „Ethereum“ pagrindu sukurtas decentralizuotas programas (DApps), tokias kaip „Oasis“, kuri neseniai atvėrė „wrapped stETH“ (wstETH) ir „Rocket Pool ETH“ (RETH) saugyklas.
Vasario 24 d. dienoraštyje paštu, „Oasis.app“ komanda patvirtino, kad įvyko priešinis išnaudojimas, nurodydama, kad „gavo Anglijos ir Velso aukštojo teismo nurodymą“ atgauti tam tikrą turtą, susijusį su „adresu, susijusiu su Wormhole Exploit“.
Komanda teigė, kad paieška buvo inicijuota per „Oasis Multisig“ ir teismo įgaliotą trečiąją šalį, kuri ankstesnėje „Blockworks Research“ ataskaitoje buvo nurodyta kaip „Jump Crypto“.
Abiejų saugyklų operacijų istorija rodo, kad „Oasis“ vasario 120,695 d. perkėlė 3,213 21 wsETH ir 78 XNUMX rETH ir įdėjo į pinigines, kurias valdo „Jump Crypto“. Įsilaužėlis taip pat turėjo maždaug XNUMX milijonų dolerių skolą MakerDAO Dai (DAI) stabili moneta, kuri buvo paimta.
„Taip pat galime patvirtinti, kad turtas buvo nedelsiant perduotas į piniginę, kurią kontroliuoja įgaliotoji trečioji šalis, kaip reikalaujama teismo įsakyme. Mes nepasiliekame jokios kontrolės ar prieigos prie šio turto“, – rašoma tinklaraščio įraše.
Nurodydama neigiamas Oasis galimybės gauti kriptovaliutų turtą iš naudotojų saugyklų pasekmes, komanda pabrėžė, kad tai buvo „įmanoma tik dėl anksčiau nežinomo pažeidžiamumo kuriant administratoriaus multisig prieigą“.
Susiję: DeFi sauga: kaip nepatikimi tiltai gali padėti apsaugoti vartotojus
Įraše teigiama, kad tokį pažeidžiamumą anksčiau šį mėnesį pabrėžė baltųjų skrybėlių įsilaužėliai.
„Pabrėžiame, kad ši prieiga buvo skirta vieninteliam tikslui apsaugoti naudotojo turtą bet kokios galimos atakos atveju ir būtų leidę mums greitai pataisyti bet kokį mums atskleistą pažeidžiamumą. Reikėtų pažymėti, kad nei praeityje, nei dabar, naudotojo turtui nekilo pavojus, kad jį galėtų pasiekti jokia neįgaliota šalis.
- foobar (@ 0xfoobar) Vasaris 24, 2023
Šaltinis: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m