Jump Crypto, ספק תשתיות Web3, ו-Oasis.app, א - מימון מבוזר פלטפורמת (DeFi), ביצעו "ניצול נגדי" על האקר פרוטוקול Wormhole. כתוצאה מכך, הזוג החזיר לעצמו נכסים דיגיטליים בשווי 225 מיליון דולר והעביר אותם לארנק מאובטח.
הפריצה לחור התולעת התרחשה בפברואר 2022 והביאה לגניבה של Ethereum עטוף (wETH) בשווי של כ-321 מיליון דולר על ידי ניצול חולשה בגשר הסמלים של הפרוטוקול.
מאז, ההאקר העביר את הנכסים הגנובים באמצעות מספר שירותים מבוזרים מבוססי Ethereum (DApps), כמו Oasis, שפתחה לאחרונה כספות עבור stETH עטוף (wstETH) ו- Rocket Pool ETH (RETH).
צוות Oasis.app אישר את קיומו של ניצול נגד בפוסט בבלוג שפורסם ב-24 בפברואר. הפוסט הסביר כי הצוות "קיבל צו מבית המשפט הגבוה של אנגליה ווילס" לאחזר נכסים מסוימים שהיו קשורים עם "הכתובת הקשורה לניצול חור התולעת".
לטענת הצוות, השחזור החל באמצעות "ה-Oasis Multisig וצד שלישי מורשה מבית המשפט", אשר נקראה Jump Crypto בדו"ח מוקדם יותר של Blockworks Research. הדוח גם ציין שהשליפה הצליחה.
לפי היסטוריית העסקאות של שתי הכספות, אואזיס העבירה 120,695 wsETH ו-3,213 rETH ב-21 בפברואר ואחסנה אותם בארנקים הנשלטים על ידי Jump Crypto. כמו כן, נמצא כי להאקר יש חובות בשווי של כ-78 מיליון דולר ב-MakerDAO stablecoin המכונה Dai (DAI), שהוחזר.
כמו כן, אנו יכולים לאשר כי הנכסים הועברו ללא דיחוי לארנק המנוהל על ידי הצד השלישי המותר, כפי שביקש פסיקת בית המשפט". נאמר בפוסט בבלוג כי "איננו שומרים על שליטה או גישה לנכסים אלה".
החברה הדגישה שזה "אפשר להעלות על הדעת רק בגלל חולשה שטרם התגלתה בארכיטקטורה של גישת ה-multisig של המנהל", בהתייחס להשלכות השליליות של אואזיס ביכולת לאסוף נכסי קריפטו מכספות המשתמשים שלה.
לפי הפרסום, פגיעות מסוג זה הועלתה לאור בתחילת החודש על ידי האקרים שחובשים כובעים לבנים.
ברצוננו להדגיש כי גישה זו יושמה במטרה מפורשת של הגנה על נכסי המשתמש במקרה של תקיפה אפשרית, וכי היא הייתה מאפשרת לנו להגיב במהירות על מנת לתקן את כל הפרצות שהובאו לידיעתנו. חשוב להדגיש כי נכסי המשתמשים מעולם לא היו בסכנת גישה של צד שלישי בלתי מורשה, לא בעבר ולא בהווה.
מקור: https://blockchain.news/news/oasisapp-and-jump-crypto-retrieve-225-million-in-crypto