Time:2023-02-25 Click:174
本文来自 Blockworks,原文作者:JON RICE & DAN SMITH
Odaily 星球日报译者 | 念银思唐
在 Jump Crypto 和 Oasis 之间的协同努力下, 2022 年 2 月攻击 Wormhole 的黑客似乎成为了“被攻击者”。
就在一年多以前(2022 年 2 月 3 日),Wormhole 跨链桥遭到黑客攻击,成为加密行业最大规模的安全事件之一。总共有大约 12 万枚 ETH 被盗,当时价值高达 3.25 亿美元。
之后 Jump Crypto 宣布投入 12 万枚以太坊以弥补 Wormhole 被盗损失,支持 Wormhole 继续发展。Jump Crypto 称相信多链的前景以及相信 Wormhole 是未来必不可少的基础设施,因此将继续支持 Wormhole,帮助其持续发展。
Jump Crypto 位于芝加哥,系 Jump Trading 旗下的加密货币部门,参与了 Wormhole 协议的开发。
当时 Wormhole 向黑客提供 1000 万美元的漏洞赏金和白帽协议,以换取他们归还资金。但这似乎从未发生过。
Jump Trading Group 总裁兼首席投资官 Dave Olsen 一个月后告诉彭博社:“我们正在与政府资源和私人资源进行密切磋商。其中很多是追踪此类罪犯的专家。我们将一直为此战斗。所以,这不是我们下个月或明年就会分心的事情,这是一项永久性的努力。”
根据 Blockworks Research 的链上分析,Jump 最终赢得了这场战斗。就在三天前,这些资金似乎已经被收回。
Jump Crypto 拒绝就调查结果置评,Oasis 也没有回复置评请求。
然而,Oasis 在本文发表后发表了一份声明,指出:
“ 2023 年 2 月 21 日,我们收到英格兰和威尔士高等法院的命令,要求我们采取一切必要措施,追回与 2022 年 2 月 2 日 Wormhole 攻击事件相关钱包地址涉及的某些资产。根据法律要求,这是在法院命令下使用 Oasis Multisig 和法院授权的第三方开展的举措。
我们还可以确认,按照法院命令的要求,这些资产立即被转移到由授权第三方控制的钱包上。我们不保留对这些资产的控制权或访问权。”
Blockworks Research 分析师 Dan Smith 详细描述了这一过程:
“交易历史表明,Jump Crypto 和 Oasis 合作,逆向攻击了一个可升级的 Oasis 合约,从最初 Wormhole 攻击者的金库中获得被盗资金。
该攻击者不断通过各种以太坊应用程序转移被盗资金。他们最近开设了两个 Oasis 金库,在两个 ETH 质押衍生品上建立了杠杆多头头寸。重要的是,两个金库都使用 Oasis 提供的自动化服务。
此次逆向攻击(counter exploit)行动涉及了数个钱包。每个地址都被定义并命名,以便在整个分析过程中使用:
- Oasis Multisig:拥有 Oasis 代理合约的 12 个 Multisig 中的 4 个。
- Holder:目前持有所回收的资金,似乎属于 Jump。
- Sender:负责执行逆向攻击,似乎属于 Jump。
该过程始于 2 月 21 日,当时 Sender 被添加为 Oasis Multisig 的签名人。Sender 执行了 5 笔交易以推进逆向攻击,随后作为 Oasis Multisig 的签名人被移除。
资金回收过程的大部分是在 Sender 到 Oasis Multisig 的第三笔交易中执行的。为了快速总结这次交易,Sender“利用”了 Oasis 合约,允许它将抵押品和债务从攻击者的金库转移到 Sender 自身的金库。
在控制了攻击者的金库后,一个被数家分析公司标记为 Jump Crypto 的钱包向 Sender 发送了 8000 万枚 DAI。这些 DAI 被用来偿还该金库的未偿贷款,并提取了 2.18 亿美元的抵押品。然后,收回的抵押品被送往资金目前所在的 Holder。
目前尚不清楚 Sender 和 Holder 是否属于 Oasis 或 Jump。然而,基本情况假设是 Jump 拥有这些地址的控制权,因为 Jump 偿还了债务以撤回抵押品。Jump 和 Oasis 都没有证实这一点。
因此,Jump 似乎成功地反击了 Wormhole 攻击者,并收回了一年前从它那里被盗的 ETH。去除偿还 DAI 以收回抵押品的这部分资金,此次逆向攻击的净收益约为 1.4 亿美元。”
跨链桥攻击造成了加密行业中许多最大的盗窃事件,包括导致 5.4 亿美元损失的 Ronin 黑客攻击,后来被认为是朝鲜黑客组织 Lazarus 所为。
但是,透明、开放的无许可公共区块链,正被证明是打击金融犯罪的“秘密武器”。
攻击黑客的道德问题,乃至合法性问题,在未来可能会引起争论。但就目前而言,Jump Crypto 似乎比上周多了 1.4 亿美元进账。
与此同时,一名黑客可能正在暗暗后悔错过了获得 1000 万美元漏洞赏金和“免罪卡”的机会吧。