חברת התשתית Web3 Jump Crypto ופלטפורמת הפיננסים המבוזרים (DeFi) Oasis.app ביצעו "ניצול נגדי" על האקר פרוטוקול Wormhole, כשהצמד תפס בחזרה 225 מיליון דולר של נכסים דיגיטליים והעביר אותם לארנק בטוח.
מתקפת חור התולעת התרחשה בפברואר 2022, עם ETH עטוף (wETH) בשווי של כ-321 מיליון דולר מנוצל באמצעות פגיעות בגשר האסימונים של הפרוטוקול.
מאז ההאקר העביר את הכספים הגנובים באמצעות יישומים מבוזרים (DApps) שונים המבוססים על Ethereum, כמו Oasis, שפתחה לאחרונה כספות עטופות stETH (wstETH) ו- Rocket Pool ETH (RETH).
בבלוג של 24 בפברואר פוסט, צוות Oasis.app אישר כי התרחש ניצול נגדי, תוך שהוא מתאר כי הוא "קיבל צו מבית המשפט הגבוה של אנגליה ווילס" לאחזר נכסים מסוימים הקשורים ל"כתובת הקשורה לניצול חור התולעת".
הצוות קבע שהשליפה החלה באמצעות "ה-Oasis Multisig וצד שלישי מורשה מבית המשפט", שזוהה כ-Jump Crypto בדוח קודם מ-Blockworks Research.
היסטוריית העסקאות של שתי הכספות מצביעה על כך ש-Oasis העבירה 120,695 wsETH ו-3,213 rETH ב-21 בפברואר והושמה בארנקים בשליטתה של Jump Crypto. להאקר היה גם חוב של כ-78 מיליון דולר ב-Dai של MakerDAO (DAI) stablecoin, אשר אוחזר.
"אנו יכולים גם לאשר שהנכסים הועברו מיד לארנק בשליטת הצד השלישי המורשה, כנדרש בצו בית המשפט. אין לנו שליטה או גישה לנכסים אלה", נכתב בפוסט בבלוג.
בהתייחסו להשלכות השליליות של Oasis היכולת לאחזר נכסי קריפטו מכספות המשתמשים שלה, הצוות הדגיש שזה "אפשרי רק בשל פגיעות שלא הייתה ידועה בעבר בעיצוב גישת ה-multisig של המנהל."
מידע נוסף: אבטחת DeFi: כיצד גשרים חסרי אמון יכולים לעזור להגן על משתמשים
הפוסט ציין שפגיעות כזו הודגשה על ידי האקרים של כובע לבן בתחילת החודש.
"אנו מדגישים שהגישה הזו הייתה שם בכוונה הבלעדית להגן על נכסי המשתמש במקרה של התקפה אפשרית כלשהי, והייתה מאפשרת לנו לנוע במהירות כדי לתקן כל פגיעות שנחשפה בפנינו. יש לציין שבשום שלב, בעבר או בהווה, נכסי משתמשים לא היו בסיכון לגישה של גורם לא מורשה כלשהו."
- foobar (@ 0xfoobar) פברואר 24, 2023
מקור: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m