Gut ein Jahr, nachdem ein Hacker 120.000 ETH von der Wormhole-Bridge gestohlen hatte, gelang es Whitehats, den Hacker seinerseits im Oasis-Protokoll in eine Falle zu locken. Wir werfen einen Blick auf diese beeindruckende Wendung der Ereignisse.
Der Wormhole-Hacker gehackt
Am 2. Februar 2022 war die Wormhole-Bridge einem beeindruckenden Hack zum Opfer gefallen, bei dem eine böswillige Entität 120.000 ETH im damaligen Wert von 320 Millionen US-Dollar stehlen konnte. Dies war nicht ohne Folgen geblieben, da ein Teil der synthetischen ETH (wETH) auf der Solana-Blockchain (SOL) zu diesem Zeitpunkt nicht mehr gesichert war. Um ein systemisches Risiko zu verhindern, hatte der Investmentfonds Jump Crypto, der in das Protokoll investiert hatte, die gestohlenen ETHs ersetzt.
Daraufhin wurden umfangreiche Ermittlungen eingeleitet, um die gestohlenen Gelder wiederzubeschaffen, was am 21. Februar dieses Jahres auch gelang. Der Hacker entschied sich, die Kredit- und Darlehensanwendung Oasis zu nutzen, um die unrechtmäßig erworbenen Gelder dort arbeiten zu lassen.
Eine Gruppe von Whitehats fand jedoch eine Schwachstelle in Oasis, die es ihnen ermöglichen sollte, die Situation zu ihrem Vorteil zu wenden. Das Protokoll erklärt übrigens in einer Pressemitteilung, dass sie eine Verfügung vom High Court of England and Wales erhalten haben, damit die Operation ordnungsgemäß durchgeführt werden kann. Die besagte Gruppe ethischer Hacker hatte sich am 16. Februar tatsächlich mit einem Proof of Concept an die Oasis-Teams gewandt:
A statement regarding the transactions from the oasis multisig on 21st Feb 2023 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) February 24, 2023
Der Ablauf der Operation
Der Hacker von Wormhole wurde also seinerseits gehackt. Die technisch sehr komplexe Operation, die zur Rückgewinnung der Gelder führte, wurde von unseren Kollegen bei Blockworks ausführlich kommentiert, und wir werden versuchen, sie so weit wie möglich zu vereinfachen, um sie verständlich zu machen.
Der Hacker eröffnete eine Position auf Oasis, um sich 78 Millionen Dollar von DAI zu leihen, die durch die gestohlenen Gelder, damals in Form von wstETH, gesichert waren. Um seine Transaktion abzusichern, fügte er einen automatisierten Stop-Loss hinzu, doch genau hier wies das Oasis-Protokoll eine Schwachstelle auf, die ausgenutzt werden konnte.
Die Whitehats erkannten nämlich, dass eine solche Operation einem Smart Contract, der über die Multisig-Adresse von Oasis gesteuert wird, den Zugriff auf diese Gelder ermöglichen würde. Diese Whitehats wurden daraufhin für die Dauer ihrer Operation als Mitunterzeichner des besagten Mutlisig-Wallets hinzugefügt.
Nach einer Vielzahl von Manipulationen gelang es der Gruppe dann, die Gelder zu verschieben, und zwar an eine Adresse, die „von einem befugten Dritten“ kontrolliert wurde, wie es das Gericht gefordert hatte.
Oasis versuchte, die Nutzer zu beruhigen:
“ Was am 21. Februar 2023 geschah, war nur aufgrund einer bis dahin unbekannten Schwachstelle im Design des Multisig-Administrator-Zugangs möglich. […] Es ist anzumerken, dass zu keinem Zeitpunkt, weder in der Vergangenheit noch in der Gegenwart, die Vermögenswerte der Nutzer dem Risiko eines Zugriffs durch eine nicht autorisierte Partei ausgesetzt waren. „
Obwohl diese Operation legitim war und zu begrüßen ist, kann sie dennoch Fragen über die tatsächliche Dezentralisierung der dezentralen Finanzwirtschaft (DeFi) aufwerfen und zeigt, dass jedes beliebige Geld ein Risiko darstellt, sobald es in einem Protokoll hinterlegt ist.
