Jump Crypto และ Oasis.app 'เคาน์เตอร์หาประโยชน์' แฮ็กเกอร์ Wormhole มูลค่า 225 ล้านเหรียญ

บริษัทโครงสร้างพื้นฐาน Web3 Jump Crypto และแพลตฟอร์มการเงินแบบกระจายอำนาจ (DeFi) Oasis.app ได้ดำเนินการ “ตอบโต้การแสวงประโยชน์” กับแฮ็กเกอร์โปรโตคอล Wormhole โดยทั้งคู่สามารถเรียกคืนสินทรัพย์ดิจิทัลมูลค่า 225 ล้านดอลลาร์และโอนไปยังกระเป๋าเงินที่ปลอดภัย

การโจมตี Wormhole เกิดขึ้นในเดือนกุมภาพันธ์ 2022 โดยมีมูลค่ารวมประมาณ 321 ล้านดอลลาร์ของ ETH (wETH) ใช้ประโยชน์ผ่านช่องโหว่ ในโทเค็นบริดจ์ของโปรโตคอล

แฮ็กเกอร์มีตั้งแต่ ย้ายเงินที่ถูกขโมยไป ผ่านแอปพลิเคชั่นกระจายอำนาจบน Ethereum (DApps) เช่น Oasis ซึ่งเพิ่งเปิดห่อ stETH (wstETH) และ Rocket Pool ETH (RETH)

ในบล็อกวันที่ 24 กุมภาพันธ์ เสาทีมงาน Oasis.app ยืนยันว่ามีการเอารัดเอาเปรียบจากเคาน์เตอร์ โดยสรุปว่า "ได้รับคำสั่งจากศาลสูงของอังกฤษและเวลส์" ให้เรียกค้นทรัพย์สินบางอย่างที่เกี่ยวข้องกับ "ที่อยู่ที่เกี่ยวข้องกับช่องโหว่ Wormhole Exploit"

ทีมงานระบุว่าการดึงข้อมูลเริ่มต้นผ่าน “Oasis Multisig และบุคคลที่สามที่ได้รับอนุญาตจากศาล” ซึ่งระบุว่าเป็น Jump Crypto ในรายงานก่อนหน้านี้จาก Blockworks Research

ประวัติการทำธุรกรรมของห้องนิรภัยทั้งสองระบุว่า Oasis ย้าย 120,695 wsETH และ 3,213 rETH เมื่อวันที่ 21 กุมภาพันธ์ และวางไว้ในกระเป๋าเงินภายใต้การควบคุมของ Jump Crypto แฮ็กเกอร์ยังมีหนี้ประมาณ 78 ล้านดอลลาร์ใน MakerDAO's Dai (DAI) เหรียญ Stablecoin ที่ได้รับมา

“เรายังสามารถยืนยันได้ว่าทรัพย์สินถูกส่งไปยังกระเป๋าเงินทันทีซึ่งควบคุมโดยบุคคลที่สามที่ได้รับอนุญาตตามคำสั่งศาล เราไม่สามารถควบคุมหรือเข้าถึงทรัพย์สินเหล่านี้ได้” โพสต์บล็อกอ่าน

@spreekaway ทวีตในการใช้ประโยชน์จากเคาน์เตอร์ ที่มา: ทวิตเตอร์

เมื่ออ้างถึงความหมายเชิงลบของ Oasis ที่สามารถดึงสินทรัพย์ crypto จากห้องนิรภัยของผู้ใช้ได้ ทีมงานเน้นว่า "เป็นไปได้เนื่องจากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ในการออกแบบการเข้าถึง multisig ของผู้ดูแลระบบ"

ที่เกี่ยวข้อง ความปลอดภัยของ DeFi: บริดจ์ที่ไม่ไว้วางใจสามารถช่วยปกป้องผู้ใช้ได้อย่างไร

โพสต์ระบุว่าช่องโหว่ดังกล่าวถูกเน้นโดยแฮกเกอร์หมวกขาวเมื่อต้นเดือนนี้

“เราเน้นย้ำว่าการเข้าถึงนี้มีขึ้นเพื่อจุดประสงค์เดียวในการปกป้องทรัพย์สินของผู้ใช้ในกรณีที่มีการโจมตีใดๆ ที่อาจเกิดขึ้น และจะช่วยให้เราดำเนินการแก้ไขช่องโหว่ใดๆ ที่เปิดเผยต่อเราได้อย่างรวดเร็ว ควรสังเกตว่าในอดีตหรือปัจจุบัน สินทรัพย์ของผู้ใช้มีความเสี่ยงที่จะถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต”