Poco più di un anno dopo che un hacker ha rubato 120.000 ETH sul ponte Wormhole, i whitehats sono riusciti a intrappolarlo a loro volta sul protocollo Oasis. Uno sguardo indietro a questa impressionante svolta degli eventi.
L’hacker del wormhole è stato violato
Il 2 febbraio 2022, il ponte di Wormhole ha subito un’impressionante violazione, consentendo a un’entità malintenzionata di rubare 120.000 ETH, che all’epoca valevano 320 milioni di dollari. Ciò non è avvenuto senza conseguenze, poiché alcuni degli ETH sintetici (wETH) sulla blockchain Solana (SOL) non erano più garantiti. Per evitare un rischio sistemico, il fondo di investimento Jump Crypto, che aveva investito nel protocollo, ha sostituito gli ETH rubati.
È stato quindi avviato un grande sforzo investigativo per cercare di recuperare i fondi rubati, impresa che sarebbe avvenuta il 21 febbraio. In effetti, l’hacker ha deciso di utilizzare l’applicazione di prestito e di prestito Oasis, al fine di mettere a frutto i fondi illecitamente sottratti.
Ma un gruppo di whitehats ha trovato una falla in Oasis che gli avrebbe permesso di ribaltare la situazione a proprio vantaggio. In un comunicato stampa, il protocollo spiega di aver ricevuto un ordine dall’Alta Corte di Inghilterra e Galles per consentire all’operazione di procedere come previsto. Il suddetto gruppo di hacker etici aveva effettivamente avvicinato i team di Oasis con un proof of concept il 16 febbraio:
Dichiarazione relativa alle transazioni del multisig oasis del 21 febbraio 2023 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) 24 febbraio 2023
L’operazione
L’hacker del Wormhole è stato hackerato a sua volta. L’operazione, molto complessa dal punto di vista tecnico, che ha permesso il recupero dei fondi, è stata commentata nel dettaglio dai colleghi di Blockworks, e noi cercheremo di semplificarla il più possibile per renderla comprensibile.
L’hacker ha aperto una posizione su Oasis per prendere in prestito 78 milioni di dollari da DAI, garantiti dai fondi rubati, allora sotto forma di wstETH. Per proteggere il suo trade, ha aggiunto uno stop-loss automatico, ma è qui che il protocollo Oasis presenta una falla che può essere sfruttata.
Infatti, i whitehats si sono resi conto che una simile operazione avrebbe permesso a uno smart contract controllato dall’indirizzo multi-sig di Oasis di avere accesso a questi fondi. Questi whitehats sono stati quindi aggiunti come co-firmatari del suddetto portafoglio mutlisig per la durata della loro operazione.
Dopo molte manipolazioni, il gruppo è riuscito a spostare i fondi a un indirizzo controllato da una “terza parte autorizzata”, come richiesto dal tribunale.
Da parte sua, Oasis ha voluto rassicurare gli utenti:
“Questa è una questione molto importante per noi.
Quello che è successo il 21 febbraio 2023 è stato possibile solo a causa di una vulnerabilità precedentemente sconosciuta nella progettazione dell’accesso multi-sig dell’amministratore. […] Va notato che in nessun momento, passato o presente, le risorse degli utenti erano a rischio di accesso da parte di soggetti non autorizzati. “
Sebbene questa operazione sia legittima e vada accolta con favore, può tuttavia sollevare dubbi sulla reale decentralizzazione della DeFi, e dimostra che qualsiasi fondo è a rischio, non appena viene depositato su un protocollo.
