Спустя чуть больше года после того, как хакер украл 120 000 ETH на мосту Wormhole, белым хакерам удалось поймать его в ловушку на протоколе Oasis. Оглянитесь назад на этот впечатляющий поворот событий.
Вормхол хакер взломан
2 февраля 2022 года мост Wormhole подвергся впечатляющему взлому, позволившему злоумышленнику украсть 120 000 ETH стоимостью 320 миллионов долларов на тот момент. Это не осталось без последствий, поскольку некоторые синтетические ETH (wETH) на блокчейне Solana (SOL) больше не были гарантированы. Чтобы предотвратить системный риск, инвестиционный фонд Jump Crypto, вложивший средства в протокол, заменил украденные ETH.
Затем было начато масштабное расследование, чтобы попытаться вернуть украденные средства, и, как говорят, этот подвиг был совершен 21 февраля. Действительно, хакер решил использовать приложение Oasis для кредитования и заимствования, чтобы заставить незаконно полученные средства работать.
Но группа белых хакеров нашла в Oasis лазейку, которая позволила им обратить ситуацию в свою пользу. В пресс-релизе протокола объясняется, что он получил распоряжение Высокого суда Англии и Уэльса, позволяющее провести операцию так, как положено. Упомянутая группа этичных хакеров действительно обратилась к командам Oasis с доказательством концепции 16 февраля:
Заявление относительно транзакций с мультисигнала oasis 21 февраля 2023 года https://t.co/ua78BAAEj4
— Oasis.app (@oasisdotapp) 24 февраля 2023 года
Операция
Хакер «Червоточины» был взломан по очереди. Очень сложная с технической точки зрения операция, позволившая вернуть средства, была подробно прокомментирована нашими коллегами из Blockworks, мы же постараемся максимально упростить ее, чтобы она была понятна.
Хакер открыл позицию на Oasis, чтобы занять у DAI 78 миллионов долларов под залог похищенных средств, тогда еще в форме wstETH. Чтобы обезопасить свою сделку, он добавил автоматический стоп-лосс, но именно в этом месте протокол Oasis имел недостаток, который можно было использовать.
Действительно, белые хаты поняли, что такая операция позволит смарт-контракту, контролируемому мультисигма-адресом Oasis, получить доступ к этим средствам. Затем эти белые хаты были добавлены в качестве соподписантов указанного портфеля mutlisig на время проведения операции.
После долгих манипуляций группе удалось перевести средства на адрес, контролируемый «уполномоченной третьей стороной», как того требовал суд.
Со своей стороны, компания Oasis постаралась успокоить пользователей:
«Это очень важный вопрос для нас.
То, что произошло 21 февраля 2023 года, стало возможным только из-за ранее неизвестной уязвимости в конструкции мультисигмального доступа администратора. […] Следует отметить, что ни в какое время, ни в прошлом, ни в настоящем, активы пользователей не подвергались риску доступа неавторизованной стороны. «
Хотя эта операция была законной и должна приветствоваться, она, тем не менее, может вызвать вопросы об истинной децентрализации DeFi, и показывает, что любые средства подвергаются риску, как только они депонируются в протокол.
