Web3 ინფრასტრუქტურის ფირმა Jump Crypto-მ და დეცენტრალიზებულმა ფინანსურმა (DeFi) პლატფორმამ Oasis.app-მა ჩაატარეს „კონტრექსპლოიტი“ Wormhole პროტოკოლის ჰაკერზე, დუეტმა დააბრუნა 225 მილიონი დოლარის ციფრული აქტივები და გადასცა ისინი უსაფრთხო საფულეში.
Wormhole-ის შეტევა მოხდა 2022 წლის თებერვალში, დაახლოებით 321 მილიონი დოლარის ღირებულების შეფუთული ETH (wETH) ექსპლუატირებულია დაუცველობის მეშვეობით პროტოკოლის სიმბოლურ ხიდში.
ჰაკერმა მას შემდეგ მოპარული თანხები გადაიტანა Ethereum-ზე დაფუძნებული სხვადასხვა დეცენტრალიზებული აპლიკაციების (DApps) მეშვეობით, როგორიცაა Oasis, რომელმაც ცოტა ხნის წინ გახსნა შეფუთული stETH (wstETH) და Rocket Pool ETH (RETH) სარდაფები.
24 თებერვლის ბლოგში პოსტიOasis.app-ის გუნდმა დაადასტურა, რომ განხორციელდა კონტრექსპლოიტი და აღნიშნა, რომ მან „მიიღო ბრძანება ინგლისისა და უელსის უზენაესი სასამართლოსგან“ გამოეღო გარკვეული აქტივები, რომლებიც დაკავშირებულია „Wormhole Exploit-თან დაკავშირებულ მისამართთან“.
გუნდმა განაცხადა, რომ მოძიება დაიწყო "Oasis Multisig-ისა და სასამართლოს მიერ უფლებამოსილი მესამე მხარის" მეშვეობით, რომელიც იდენტიფიცირებული იყო, როგორც Jump Crypto Blockworks Research-ის წინა მოხსენებაში.
ორივე სარდაფის ტრანზაქციის ისტორია მიუთითებს, რომ Oasis-მა გადაიტანა 120,695 wsETH და 3,213 rETH 21 თებერვალს და მოათავსა საფულეებში Jump Crypto-ს კონტროლის ქვეშ. ჰაკერს ასევე ჰქონდა დაახლოებით 78 მილიონი დოლარის ვალი MakerDAO's Dai-ში (DAI) stablecoin, რომელიც ამოღებულია.
„ჩვენ ასევე შეგვიძლია დავადასტუროთ, რომ აქტივები დაუყოვნებლივ გადაეცა საფულეზე, რომელსაც აკონტროლებს უფლებამოსილი მესამე მხარე, როგორც ამას სასამართლო ბრძანება მოითხოვს. ჩვენ არ ვინარჩუნებთ კონტროლს ან წვდომას ამ აქტივებზე“, - ნათქვამია ბლოგ პოსტში.
Oasis-ის უარყოფით შედეგებზე მითითებით, რომ შეუძლია კრიპტო აქტივების ამოღება მომხმარებელთა საცავებიდან, გუნდმა ხაზგასმით აღნიშნა, რომ ეს შესაძლებელი იყო მხოლოდ ადმინისტრატორის მულტისიგის წვდომის დიზაინში მანამდე უცნობი დაუცველობის გამო.
ამავე თემაზე: DeFi უსაფრთხოება: როგორ შეუძლია დაუსაბუთებელ ხიდებს დაეხმაროს მომხმარებლების დაცვაში
პოსტში ნათქვამია, რომ ასეთი დაუცველობა ხაზგასმული იყო თეთრი ქუდის ჰაკერების მიერ ამ თვის დასაწყისში.
”ჩვენ ხაზს ვუსვამთ, რომ ეს წვდომა იქმნებოდა მხოლოდ იმ მიზნით, რომ დაეცვა მომხმარებლის აქტივები რაიმე პოტენციური თავდასხმის შემთხვევაში და მოგვცემდა საშუალებას სწრაფად გადაგვეკეთებინა ჩვენთვის გამჟღავნებული ნებისმიერი დაუცველობა. უნდა აღინიშნოს, რომ არც ერთ მომენტში, არც წარსულში, არც აწმყოში, მომხმარებლის აქტივებს არ ჰქონიათ რაიმე არაავტორიზებული მხარის მიერ წვდომის რისკი.
- foobar (@ 0xfoobar) თებერვალი 24, 2023
წყარო: https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m