Poco más de un año después de que un hacker robara 120.000 ETH en el puente Wormhole, los whitehats han conseguido atraparlo a su vez en el protocolo Oasis. Una mirada retrospectiva a este impresionante giro de los acontecimientos.
Hacker del Agujero de Gusano hackeado
El 2 de febrero de 2022, el puente de Wormhole sufrió un impresionante hackeo, que permitió a una entidad maliciosa robar 120.000 ETH por valor de 320 millones de dólares de la época. Esto no fue sin consecuencias, ya que algunos de los ETH sintéticos (wETH) en la blockchain de Solana (SOL) dejaron de estar garantizados. Para evitar un riesgo sistémico, el fondo de inversión Jump Crypto, que había invertido en el protocolo, sustituyó los ETH robados.
A continuación, se puso en marcha una importante investigación para intentar recuperar los fondos robados, hazaña que habría tenido lugar el 21 de febrero. De hecho, el hacker decidió utilizar la aplicación de préstamos y empréstitos Oasis, con el fin de hacer funcionar los fondos mal habidos.
Pero un grupo de whitehats encontró un resquicio en Oasis que les permitiría dar la vuelta a la situación en su beneficio. El protocolo explica en un comunicado que ha recibido una orden del Tribunal Superior de Inglaterra y Gales para permitir que la operación se desarrolle como es debido. En efecto, dicho grupo de hackers éticos se había dirigido a los equipos de Oasis con una prueba de concepto el 16 de febrero:
Una declaración sobre las transacciones del multisig de oasis el 21 de febrero de 2023 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) 24 de febrero de 2023
La operación
El hacker de Wormhole fue hackeado a su vez. La operación, muy compleja desde el punto de vista técnico, que permitió la recuperación de fondos, ha sido comentada en detalle por nuestros compañeros de Blockworks, y trataremos de simplificarla al máximo para hacerla comprensible.
El hacker abrió una posición en Oasis con el fin de pedir prestados 78 millones de dólares a DAI, garantizados por los fondos que habían robado, entonces en forma de wstETH. Para asegurar su operación, añadió un stop-loss automatizado, pero aquí es donde el protocolo de Oasis tenía un fallo que podía explotarse.
En efecto, los whitehats se dieron cuenta de que tal operación permitiría a un contrato inteligente controlado por la dirección multisig de Oasis tener acceso a estos fondos. Estos whitehats se añadieron entonces como cofirmantes de dicha cartera mutlisig durante la duración de su operación.
Después de muchas manipulaciones, el grupo consiguió trasladar los fondos a una dirección controlada por un «tercero autorizado», tal como exigía el tribunal.
Por su parte, Oasis ha querido tranquilizar a los usuarios:
«Se trata de un asunto muy importante para nosotros.
Lo que ocurrió el 21 de febrero de 2023 sólo fue posible debido a una vulnerabilidad desconocida hasta ahora en el diseño del acceso de administrador multisig. […] Cabe señalar que en ningún momento, pasado o presente, los activos de los usuarios estuvieron en riesgo de acceso por parte de un tercero no autorizado. «
Si bien esta operación era legítima y debe acogerse con satisfacción, puede sin embargo plantear interrogantes sobre la verdadera descentralización de DeFi, y demuestra que cualquier fondo está en riesgo, tan pronto como se deposita en un protocolo.
