Web3 ենթակառուցվածքային ընկերությունը Jump Crypto-ն և ապակենտրոնացված ֆինանսական (DeFi) հարթակը Oasis.app-ը «հակառակային շահագործում» են իրականացրել Wormhole արձանագրության հաքերների վրա, որոնց արդյունքում դուետը հետ է կանչել 225 միլիոն դոլարի թվային ակտիվներ և դրանք փոխանցել անվտանգ դրամապանակին:
Wormhole հարձակումը տեղի է ունեցել 2022 թվականի փետրվարին՝ մոտավորապես 321 միլիոն դոլար արժողությամբ փաթաթված ETH (wETH) հետ: շահագործվում է խոցելիության միջոցով արձանագրության նշանային կամուրջում։
Այդ ժամանակից ի վեր հաքերը տեղափոխել է գողացված դրամական միջոցները Ethereum-ի վրա հիմնված տարբեր ապակենտրոնացված հավելվածների (DApps) միջոցով, ինչպիսիք են Oasis-ը, որը վերջերս բացեց փաթաթված stETH (wstETH) և Rocket Pool ETH (RETH) պահոցները:
Փետրվարի 24-ի բլոգում ՓոխանցելOasis.app-ի թիմը հաստատեց, որ հակասխալ է տեղի ունեցել՝ նշելով, որ «հրաման է ստացել Անգլիայի և Ուելսի Գերագույն դատարանից»՝ առբերելու որոշակի ակտիվներ՝ կապված «Wormhole Exploit»-ի հետ կապված հասցեի հետ:
Թիմը հայտարարեց, որ հետբերումը սկսվել է «Oasis Multisig-ի և դատարանի կողմից լիազորված երրորդ կողմի» միջոցով, որը նույնացվել է որպես Jump Crypto՝ Blockworks Research-ի նախորդ զեկույցում:
Երկու պահոցների գործարքների պատմությունը ցույց է տալիս, որ Oasis-ը փետրվարի 120,695-ին տեղափոխել է 3,213 wsETH և 21 rETH և տեղադրել դրամապանակներում՝ Jump Crypto-ի հսկողության ներքո: Հաքերը նաև մոտ 78 միլիոն դոլարի պարտք ուներ MakerDAO-ի Dai-ում (DAI) stablecoin, որը առբերվել է։
«Մենք կարող ենք նաև հաստատել, որ ակտիվները անմիջապես փոխանցվել են լիազորված երրորդ կողմի կողմից վերահսկվող դրամապանակին, ինչպես պահանջվում է դատարանի որոշմամբ: Մենք չենք պահպանում այդ ակտիվների նկատմամբ վերահսկողությունը կամ մուտքը», - ասվում է բլոգի գրառման մեջ:
Անդրադառնալով Oasis-ի բացասական հետևանքներին՝ կարողանալով առբերել կրիպտո ակտիվներն իր օգտատերերի պահոցներից, թիմն ընդգծել է, որ դա հնարավոր է «միայն ադմինիստրատորի բազմասիգ մուտքի նախագծման մեջ նախկինում անհայտ խոցելիության պատճառով»:
Related: DeFi անվտանգություն. ինչպես անվստահելի կամուրջները կարող են օգնել պաշտպանել օգտվողներին
Գրառման մեջ ասվում էր, որ նման խոցելիությունը ընդգծվել է այս ամսվա սկզբին սպիտակ գլխարկների հաքերների կողմից:
«Մենք շեշտում ենք, որ այս մուտքը եղել է օգտատերերի ակտիվները ցանկացած հնարավոր հարձակման դեպքում պաշտպանելու միակ մտադրությամբ, և թույլ կտար մեզ արագ շարժվել՝ մեզ բացահայտված ցանկացած խոցելիությունը վերացնելու համար: Պետք է նշել, որ ոչ մի պահ՝ անցյալում կամ ներկայում, օգտատերերի ակտիվները որևէ չարտոնված կողմի մուտքի վտանգի տակ չեն եղել»:
- foobar (@ 0xfoobar) Փետրվարի 24, 2023
Աղբյուր՝ https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m