Crypto

Jump Crypto-ն և Oasis.app-ը 225 մլն դոլարով «հակառակ են շահագործում» Wormhole հաքերին

02/26/2023
Bitcoin Ethereum Նորություններ

Web3 ենթակառուցվածքային ընկերությունը Jump Crypto-ն և ապակենտրոնացված ֆինանսական (DeFi) հարթակը Oasis.app-ը «հակառակային շահագործում» են իրականացրել Wormhole արձանագրության հաքերների վրա, որոնց արդյունքում դուետը հետ է կանչել 225 միլիոն դոլարի թվային ակտիվներ և դրանք փոխանցել անվտանգ դրամապանակին:

Wormhole հարձակումը տեղի է ունեցել 2022 թվականի փետրվարին՝ մոտավորապես 321 միլիոն դոլար արժողությամբ փաթաթված ETH (wETH) հետ: շահագործվում է խոցելիության միջոցով արձանագրության նշանային կամուրջում։

Այդ ժամանակից ի վեր հաքերը տեղափոխել է գողացված դրամական միջոցները Ethereum-ի վրա հիմնված տարբեր ապակենտրոնացված հավելվածների (DApps) միջոցով, ինչպիսիք են Oasis-ը, որը վերջերս բացեց փաթաթված stETH (wstETH) և Rocket Pool ETH (RETH) պահոցները:

պատկեր

Փետրվարի 24-ի բլոգում ՓոխանցելOasis.app-ի թիմը հաստատեց, որ հակասխալ է տեղի ունեցել՝ նշելով, որ «հրաման է ստացել Անգլիայի և Ուելսի Գերագույն դատարանից»՝ առբերելու որոշակի ակտիվներ՝ կապված «Wormhole Exploit»-ի հետ կապված հասցեի հետ:

Թիմը հայտարարեց, որ հետբերումը սկսվել է «Oasis Multisig-ի և դատարանի կողմից լիազորված երրորդ կողմի» միջոցով, որը նույնացվել է որպես Jump Crypto՝ Blockworks Research-ի նախորդ զեկույցում:

Երկու պահոցների գործարքների պատմությունը ցույց է տալիս, որ Oasis-ը փետրվարի 120,695-ին տեղափոխել է 3,213 wsETH և 21 rETH և տեղադրել դրամապանակներում՝ Jump Crypto-ի հսկողության ներքո: Հաքերը նաև մոտ 78 միլիոն դոլարի պարտք ուներ MakerDAO-ի Dai-ում (DAI) stablecoin, որը առբերվել է։

«Մենք կարող ենք նաև հաստատել, որ ակտիվները անմիջապես փոխանցվել են լիազորված երրորդ կողմի կողմից վերահսկվող դրամապանակին, ինչպես պահանջվում է դատարանի որոշմամբ: Մենք չենք պահպանում այդ ակտիվների նկատմամբ վերահսկողությունը կամ մուտքը», - ասվում է բլոգի գրառման մեջ:

@spreekaway թվիթը հաշվիչի շահագործման վրա: Աղբյուր՝ Twitter

Անդրադառնալով Oasis-ի բացասական հետևանքներին՝ կարողանալով առբերել կրիպտո ակտիվներն իր օգտատերերի պահոցներից, թիմն ընդգծել է, որ դա հնարավոր է «միայն ադմինիստրատորի բազմասիգ մուտքի նախագծման մեջ նախկինում անհայտ խոցելիության պատճառով»:

Related: DeFi անվտանգություն. ինչպես անվստահելի կամուրջները կարող են օգնել պաշտպանել օգտվողներին

Գրառման մեջ ասվում էր, որ նման խոցելիությունը ընդգծվել է այս ամսվա սկզբին սպիտակ գլխարկների հաքերների կողմից:

«Մենք շեշտում ենք, որ այս մուտքը եղել է օգտատերերի ակտիվները ցանկացած հնարավոր հարձակման դեպքում պաշտպանելու միակ մտադրությամբ, և թույլ կտար մեզ արագ շարժվել՝ մեզ բացահայտված ցանկացած խոցելիությունը վերացնելու համար: Պետք է նշել, որ ոչ մի պահ՝ անցյալում կամ ներկայում, օգտատերերի ակտիվները որևէ չարտոնված կողմի մուտքի վտանգի տակ չեն եղել»: