Iets meer dan een jaar nadat een hacker 120.000 ETH stal op de Wormhole brug, hebben whitehats hem op hun beurt weten te strikken op het Oasis protocol. Een terugblik op deze indrukwekkende wending.
Wormhole hacker gehackt
Op 2 februari 2022 werd de brug van Wormhole getroffen door een indrukwekkende hack, waardoor een kwaadwillende entiteit 120.000 ETH kon stelen met een waarde van 320 miljoen dollar op dat moment. Dit bleef niet zonder gevolgen, want een deel van de synthetische ETH (wETH) op de Solana blockchain (SOL) was niet langer gegarandeerd. Om een systeemrisico te voorkomen, verving het investeringsfonds Jump Crypto, dat in het protocol had geïnvesteerd, de gestolen ETH.
Vervolgens werd een groot onderzoek gestart om te proberen de gestolen fondsen terug te krijgen, en dit huzarenstukje zou op 21 februari hebben plaatsgevonden. De hacker besloot namelijk de Oasis leen- en uitleenapplicatie te gebruiken om de gestolen fondsen aan het werk te zetten.
Maar een groep whitehats vond een maas in Oasis waarmee ze de situatie in hun voordeel konden ombuigen. Het protocol verklaart in een persbericht dat het een bevel heeft gekregen van het High Court van Engeland en Wales om de operatie naar behoren te laten verlopen. De genoemde groep ethische hackers had inderdaad op 16 februari de Oasis teams benaderd met een proof of concept:
Een verklaring betreffende de transacties van de oasis multisig op 21 feb 2023 https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) 24 februari 2023
De operatie
De Wormhole hacker werd op zijn beurt gehackt. De operatie, die vanuit technisch oogpunt zeer complex is en die de terugvordering van fondsen mogelijk maakte, is in detail becommentarieerd door onze collega’s van Blockworks, en wij zullen proberen ze zoveel mogelijk te vereenvoudigen om ze begrijpelijk te maken.
De hacker opende een positie op Oasis om 78 miljoen dollar te lenen van DAI, gedekt door de fondsen die ze hadden gestolen, toen in de vorm van wstETH. Om zijn handel veilig te stellen, voegde hij een automatische stop-loss toe, maar dit is waar het Oasis protocol een fout had die kon worden uitgebuit.
De whitehats realiseerden zich namelijk dat een dergelijke operatie een smart contract, gecontroleerd door het Oasis multi-sig adres, toegang zou geven tot deze fondsen. Deze whitehats werden vervolgens toegevoegd als medeondertekenaars van de genoemde mutlisig portefeuille voor de duur van hun operatie.
Na een groot aantal manipulaties slaagde de groep er vervolgens in de fondsen te verplaatsen naar een adres dat werd gecontroleerd door een “bevoegde derde”, zoals vereist door de rechtbank.
Van zijn kant wilde Oasis de gebruikers geruststellen:
“Dit is een zeer belangrijke kwestie voor ons.
Wat er op 21 februari 2023 gebeurde was alleen mogelijk door een voorheen onbekende kwetsbaarheid in het ontwerp van de multi-sig beheerderstoegang. […] Er moet worden opgemerkt dat op geen enkel moment, in het verleden of nu, gebruikersactiva het risico liepen op toegang door een onbevoegde partij.”
Hoewel deze operatie legitiem was en moet worden toegejuicht, kan zij niettemin vragen oproepen over de ware decentralisatie van DeFi, en toont zij aan dat alle tegoeden gevaar lopen, zodra zij op een protocol worden gedeponeerd.
