ワームホールブリッジでハッカーが12万ETHを盗んでから1年余り、ホワイトハットはオアシスのプロトコルで順番に彼を罠にかけることに成功した。この印象的な出来事を振り返る
。
ワームホールハッカーハック
」。
2022年2月2日、Wormholeのブリッジが印象的なハッキングに遭い、悪意ある存在が当時3億2000万ドル相当の12万ETHを盗み出すことができた。この結果、ソラナブロックチェーン(SOL)上の合成ETH(wETH)の一部が保証されなくなるなど、影響がないわけではありませんでした。システミック・リスクを防ぐため、同プロトコルに投資していた投資ファンド「Jump Crypto」は、盗まれたETHを交換した。
その後、盗まれた資金を取り戻そうと大規模な調査が行われ、この偉業は2月21日に行われたと言われています。実際、ハッカーは不正に入手した資金を機能させるために、Oasisの貸し借りアプリケーションを使用することにしました。
しかし、ホワイトハットのグループがOasisの抜け穴を見つけ、この状況を有利にすることができたのです。同プロトコルはプレスリリースで、イングランドとウェールズの高等法院から、この作戦を本来通りに進めることを認める命令を受けたと説明している。当該倫理的ハッカー集団は、2月16日に確かにOasisチームに概念実証を持ちかけていた:
。
2023年2月21日のオアシスマルチシグからの取引に関する声明 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) 2023年2月24日
」。
操作
。
ワームホールのハッカーが順番にハッキングされた。技術的に非常に複雑な操作で、資金を回収することができたが、その詳細については、ブロックワークスの同僚がコメントしているので、できるだけ簡略化して理解できるようにすることにする。
ハッカーは、DAIから7800万ドルを借りるために、Oasisでポジションを開設し、盗んだ資金(当時はwstETHの形)を担保にした。取引を安全に行うため、彼は自動ストップロスを追加しましたが、ここでOasisのプロトコルに悪用される可能性がある欠陥がありました。
実際、ホワイトハットは、このような操作によって、Oasisのマルチシグアドレスによって制御されるスマートコントラクトがこれらの資金にアクセスできるようになることに気づきました。そして、これらのホワイトハットは、操作の間、当該mutlisigポートフォリオの連帯保証人として追加された。
そして、このグループは、多くの操作を経て、裁判所が要求する「公認の第三者」が管理するアドレスに資金を移動させることに成功しました。
オアシス側は、ユーザーを安心させるために、次のようなコメントを発表しています。
2023年2月21日に起こったことは、マルチシグ管理者アクセスの設計にこれまで知られていなかった脆弱性があったからこそ可能だったのです。[過去も現在も、ユーザー資産が権限のない者によってアクセスされる危険性があったわけではないことに留意してください」
この作戦は合法的なものであり、歓迎すべきものですが、それにもかかわらず、DeFiの真の分散化について疑問を投げかける可能性があり、いかなる資金もプロトコル上に預けられた時点で危険にさらされることを示しています。