Малко повече от година след като хакер открадна 120 000 ETH от моста Wormhole, белите хора успяха да го хванат на свой ред в протокола Oasis. Поглед назад към този впечатляващ развой на събитията.
Хакерът от Wormhole е хакнат
На 2 февруари 2022 г. мостът на Wormhole претърпя впечатляващ хакерски удар, който позволи на злонамерен субект да открадне 120 000 ETH на стойност 320 млн. долара по онова време. Това не остана без последствия, тъй като някои от синтетичните ETH (wETH) в блокчейна на Солана (SOL) вече не бяха гарантирани. За да предотврати системен риск, инвестиционният фонд Jump Crypto, който беше инвестирал в протокола, замени откраднатите ETH.
След това започнаха мащабни усилия за разследване, за да се опитат да възстановят откраднатите средства, и се твърди, че този подвиг е извършен на 21 февруари. Всъщност хакерът е решил да използва приложението за отпускане и вземане на заеми Oasis, за да накара неправомерно придобитите средства да работят.
Но група бели хора открили вратичка в Oasis, която им позволила да обърнат ситуацията в своя полза. В съобщение за пресата протоколът обяснява, че е получил заповед от Върховния съд на Англия и Уелс, която позволява операцията да протече както трябва. Споменатата група етични хакери действително се е обърнала към екипите на Oasis с доказателство за концепция на 16 февруари:
Изявление относно транзакциите от мултисиг на Oasis на 21 февруари 2023 г. https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) February 24, 2023
Операцията
Хакерът от „Червеева дупка“ беше хакнат на свой ред. Операцията, много сложна от техническа гледна точка, която позволи възстановяването на средствата, беше подробно коментирана от колегите ни от Blockworks, а ние ще се опитаме да я опростим максимално, за да стане разбираема.
Хакерът е открил позиция в Oasis, за да заеме 78 млн. долара от DAI, обезпечени с откраднатите средства, тогава под формата на wstETH. За да подсигури сделката си, той добави автоматичен стоп-загуба, но точно тук протоколът на Oasis имаше недостатък, който можеше да бъде използван.
Всъщност белите хора осъзнали, че подобна операция би позволила на интелигентен договор, контролиран от многозначния адрес на Oasis, да получи достъп до тези средства. След това тези уайтхатъри бяха добавени като съподписващи на споменатия мутлисиг портфейл за срока на операцията.
След много манипулации групата успява да прехвърли средствата на адрес, контролиран от „упълномощена трета страна“, както се изисква от съда.
От своя страна Oasis се постара да успокои потребителите:
„Това е много важен въпрос за нас.
Това, което се случи на 21 февруари 2023 г., беше възможно само поради неизвестна досега уязвимост в дизайна на многосигналния администраторски достъп. […] Трябва да се отбележи, че в нито един момент, нито в миналото, нито в момента, потребителските активи не са били изложени на риск от достъп на неоторизирана страна.“
Макар че тази операция беше законна и трябва да бъде приветствана, тя все пак може да повдигне въпроси относно истинската децентрализация на DeFi и показва, че всички средства са изложени на риск, веднага щом бъдат депозирани в протокола.
