在一个黑客在虫洞桥上偷了12万个ETH一年多后,白帽子们成功地在绿洲协议上反过来困住了他。回顾一下这个令人印象深刻的事件。
虫洞黑客入侵
2022年2月2日,虫洞的桥段遭遇了一次令人印象深刻的黑客攻击,让一个恶意的实体窃取了12万个ETH,在当时价值3.2亿美元。这并非没有后果,因为索拉纳区块链(SOL)上的一些合成ETH(wETH)不再有保障。为了防止出现系统性风险,投资于该协议的投资基金Jump Crypto替换了被盗的ETH。
随后启动了一项重大的调查工作,试图追回被盗资金,据说这一壮举发生在2月21日。事实上,黑客决定使用Oasis借贷应用程序,以使不义之财发挥作用。
但一群白帽子在Oasis中发现了一个漏洞,使他们能够将情况转为自己的利益。该协议在一份新闻稿中解释说,它已经收到英格兰和威尔士高等法院的命令,允许该行动如期进行。上述道德黑客组织确实在2月16日向绿洲团队提出了一个概念证明:
关于2023年2月21日绿洲Multisig交易的声明https://t.co/ua78BAAEj4
– Oasis.app (@oasisdotapp) February 24, 2023
该行动
虫洞黑客依次被入侵。从技术角度看,这次行动非常复杂,可以追回资金,我们Blockworks的同事已经做了详细的评论,我们将尽量简化,使其易于理解。
黑客在Oasis上开了一个头寸,以便从DAI借到7800万美元,由他们窃取的资金担保,当时是以wstETH的形式。为了确保他的交易,他添加了一个自动止损,但这是Oasis协议的一个缺陷,可以被利用。
事实上,白帽子们意识到,这样的操作会让由Oasis多签名地址控制的智能合约有机会获得这些资金。然后,这些白帽子被添加为上述mutlisig组合的共同签署人,在其操作期间。
经过大量操纵,该集团然后设法将资金转移到一个由 “授权第三方 “控制的地址,这是法院要求的。
就其本身而言,Oasis热衷于向用户保证:
“这对我们来说是一个非常重要的问题。
2023年2月21日发生的事情,只是因为多签名管理员访问设计中的一个以前未知的漏洞。[……]应该注意的是,在过去或现在的任何时候,用户资产都没有被未经授权方访问的风险。”
虽然这一行动是合法的,应该受到欢迎,但它可能会引起人们对DeFi真正的分散化的质疑,并表明任何资金都是有风险的,只要它们被存入一个协议。
