Něco málo přes rok poté, co hacker ukradl 120 000 ETH na mostě Wormhole, se whitehats podařilo ho zase chytit do pasti na protokolu Oasis. Ohlédnutí za tímto působivým zvratem událostí
Hacker se naboural do Wormhole
Dne 2. února 2022 došlo k působivému hackerskému útoku na můstek Wormhole, který umožnil zlomyslnému subjektu ukrást 120 000 ETH v tehdejší hodnotě 320 milionů dolarů. To nezůstalo bez následků, protože některé syntetické ETH (wETH) na Solana blockchainu (SOL) již nebyly garantovány. Aby se zabránilo systémovému riziku, investiční fond Jump Crypto, který do protokolu investoval, odcizené ETH nahradil.
Následně bylo zahájeno rozsáhlé vyšetřování s cílem pokusit se získat ukradené prostředky zpět a tento výkon se údajně uskutečnil 21. února. Hacker se totiž rozhodl využít aplikaci Oasis pro půjčování a vypůjčování, aby mohl neoprávněně získané prostředky zpeněžit.
Skupina bílých klobouků však našla v aplikaci Oasis mezeru, která by jim umožnila zvrátit situaci ve svůj prospěch. Protokol v tiskové zprávě vysvětluje, že obdržel příkaz od Vrchního soudu Anglie a Walesu, aby operace mohla proběhnout tak, jak měla. Zmíněná skupina etických hackerů skutečně 16. února oslovila týmy Oasis s důkazem konceptu:
Vyjádření k transakcím z multisignálu oázy 21. února 2023 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) February 24, 2023
Operace
Hacker Wormhole byl zase hacknut. Operaci, z technického hlediska velmi složitou, která umožnila získat zpět finanční prostředky, podrobně komentovali kolegové z Blockworks, my se ji pokusíme co nejvíce zjednodušit, aby byla srozumitelná.
Hacker otevřel pozici na Oasis, aby si od DAI půjčil 78 milionů dolarů, které zajistil odcizenými prostředky, tehdy ve formě wstETH. Aby svůj obchod zajistil, přidal automatický stop-loss, ale právě zde měl protokol Oasis chybu, kterou bylo možné zneužít.
Whitehats si totiž uvědomili, že taková operace by umožnila chytrému kontraktu ovládanému multi-sig adresou Oasis získat přístup k těmto prostředkům. Tito whitehats pak byli po dobu trvání operace přidáni jako spolusignatáři zmíněného mutlisig portfolia.
Po mnoha manipulacích se pak skupině podařilo přesunout prostředky na adresu kontrolovanou „oprávněnou třetí stranou“, jak požadoval soud.
Společnost Oasis se ze své strany snažila uživatele uklidnit:
„Je to pro nás velmi důležitá záležitost.
To, co se stalo 21. února 2023, bylo možné pouze díky dosud neznámé chybě v konstrukci přístupu administrátora s více signály. […] Je třeba poznamenat, že v žádném okamžiku, ani v minulosti, ani v současnosti, nebyla uživatelská aktiva ohrožena přístupem neoprávněné strany.“
Ačkoli tato operace byla legitimní a měla by být vítána, může přesto vyvolat otázky ohledně skutečné decentralizace DeFi a ukazuje, že jakékoli finanční prostředky jsou ohroženy, jakmile jsou uloženy na protokolu.
