Crypto

Jump Crypto ແລະ Oasis.app 'counter exploits' ແຮກເກີ Wormhole ສໍາລັບ $225M

02/26/2023
ຂ່າວ Bitcoin Ethereum

ບໍລິສັດພື້ນຖານໂຄງລ່າງ Web3 Jump Crypto ແລະແພລະຕະຟອມການເງິນແບບກະແຈກກະຈາຍ (DeFi) Oasis.app ໄດ້ດໍາເນີນການ "ຕ້ານການຂູດຮີດ" ໃນແຮກເກີໂປໂຕຄອນ Wormhole, ໂດຍສອງຄົນໄດ້ອ້າງເອົາຊັບສິນດິຈິຕອນຄືນ $ 225 ລ້ານແລະໂອນພວກເຂົາໄປຫາກະເປົາເງິນທີ່ປອດໄພ.

ການໂຈມຕີ Wormhole ເກີດຂຶ້ນໃນເດືອນກຸມພາ 2022, ດ້ວຍມູນຄ່າປະມານ 321 ລ້ານໂດລາສະຫະລັດຫໍ່ ETH (wETH) ຖືກຂູດຮີດໂດຍຜ່ານຊ່ອງໂຫວ່ ໃນຂົວ token ຂອງໂປໂຕຄອນ.

ແຮກເກີມີຕັ້ງແຕ່ນັ້ນມາ ຍ້າຍກອງທຶນທີ່ຖືກລັກ ໂດຍຜ່ານຄໍາຮ້ອງສະຫມັກການກະຈາຍການສູນກາງທີ່ອີງໃສ່ Ethereum (DApps), ເຊັ່ນ Oasis, ເຊິ່ງບໍ່ດົນມານີ້ໄດ້ເປີດຊຸດ stETH (wstETH) ແລະ Rocket Pool ETH (RETH) vaults.

ຮູບພາບ

ໃນ blog 24 ກຸມພາ ກະທູ້, ທີມງານ Oasis.app ຢືນຢັນວ່າການຂູດຮີດໄດ້ເກີດຂຶ້ນ, ຊີ້ໃຫ້ເຫັນວ່າມັນ "ໄດ້ຮັບຄໍາສັ່ງຈາກສານສູງຂອງອັງກິດແລະ Wales" ເພື່ອດຶງເອົາຊັບສິນບາງຢ່າງທີ່ກ່ຽວຂ້ອງກັບ "ທີ່ຢູ່ທີ່ກ່ຽວຂ້ອງກັບ Wormhole Exploit."

ທີມງານກ່າວວ່າການດຶງຂໍ້ມູນໄດ້ຖືກລິເລີ່ມຜ່ານ "Oasis Multisig ແລະພາກສ່ວນທີສາມທີ່ໄດ້ຮັບອະນຸຍາດຈາກສານ," ເຊິ່ງຖືກກໍານົດວ່າເປັນ Jump Crypto ໃນບົດລາຍງານກ່ອນຫນ້າຈາກ Blockworks Research.

ປະຫວັດການເຮັດທຸລະກໍາຂອງ vaults ທັງສອງຊີ້ໃຫ້ເຫັນວ່າ Oasis ໄດ້ຍ້າຍ 120,695 wsETH ແລະ 3,213 rETH ໃນວັນທີ 21 ເດືອນກຸມພາແລະວາງໄວ້ໃນກະເປົາເງິນພາຍໃຕ້ການຄວບຄຸມຂອງ Jump Crypto. ແຮກເກີຍັງມີຫນີ້ສິນປະມານ 78 ລ້ານໂດລາຢູ່ໃນ Dai ຂອງ MakerDAO (DAI) stabilitycoin, ເຊິ່ງໄດ້ດຶງມາ.

"ພວກເຮົາຍັງສາມາດຢືນຢັນວ່າຊັບສິນໄດ້ຖືກສົ່ງເຂົ້າໄປໃນກະເປົ໋າເງິນທີ່ຄວບຄຸມໂດຍບຸກຄົນທີສາມທີ່ໄດ້ຮັບອະນຸຍາດ, ຕາມຄໍາສັ່ງຂອງສານ. ພວກເຮົາຮັກສາບໍ່ມີການຄວບຄຸມຫຼືການເຂົ້າເຖິງຊັບສິນເຫຼົ່ານີ້,” ບົດຄວາມ blog ອ່ານ.

@spreekaway tweet ໃນ counter exploit. ແຫຼ່ງຂໍ້ມູນ: Twitter

ການອ້າງອິງຜົນກະທົບທາງລົບຂອງ Oasis ທີ່ສາມາດດຶງຊັບສິນ crypto ຈາກຫ້ອງໂຖງຜູ້ໃຊ້ຂອງມັນ, ທີມງານໄດ້ເນັ້ນຫນັກວ່າ "ເປັນໄປໄດ້ພຽງແຕ່ຍ້ອນຄວາມອ່ອນແອທີ່ບໍ່ຮູ້ຈັກກ່ອນຫນ້ານີ້ໃນການອອກແບບຂອງການເຂົ້າເຖິງ multisig admin."

ທີ່ກ່ຽວຂ້ອງ: ຄວາມປອດໄພ DeFi: ຂົວທີ່ບໍ່ເຊື່ອຖືສາມາດຊ່ວຍປົກປ້ອງຜູ້ໃຊ້ໄດ້ແນວໃດ

ໂພສດັ່ງກ່າວລະບຸວ່າ ຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້ຖືກເນັ້ນໃຫ້ເຫັນໂດຍພວກແຮກເກີໝວກຂາວໃນຕົ້ນເດືອນນີ້.

"ພວກເຮົາເນັ້ນຫນັກວ່າການເຂົ້າເຖິງນີ້ແມ່ນຢູ່ທີ່ນັ້ນດ້ວຍຄວາມຕັ້ງໃຈດຽວເພື່ອປົກປ້ອງຊັບສິນຂອງຜູ້ໃຊ້ໃນກໍລະນີທີ່ມີການໂຈມຕີໃດໆ, ແລະຈະຊ່ວຍໃຫ້ພວກເຮົາຍ້າຍອອກໄປຢ່າງໄວວາເພື່ອແກ້ໄຂຈຸດອ່ອນໃດໆທີ່ເປີດເຜີຍໃຫ້ພວກເຮົາ. ມັນຄວນຈະສັງເກດວ່າບໍ່ມີຈຸດໃດ, ໃນອະດີດຫຼືປະຈຸບັນ, ຊັບສິນຂອງຜູ້ໃຊ້ມີຄວາມສ່ຽງທີ່ຈະຖືກເຂົ້າເຖິງໂດຍພາກສ່ວນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ."