אירוע חסר תקדים בתחום הקריפטו התרחש במהלך סוף השבוע.
בפברואר 2022 תקף האקר אלמוני את הפרויקט Wormhole, גשר שחיבר בין רשת הבלוקצ'יין סולאנה לבין אתריום. בתקיפה זו הצליח ההאקר להשתלט על כ-321 מיליון ד' שווי wETH (ר"ת Wrapped Ethereum הנסחרים ביחס כמעט 1:1 ל-ETH עצמו).
במהלך סוף השבוע, חברת המסחר Jump Crypto והאפליקציה "המבוזרת" Oasis.app הצליחו להשתלט על 225 מיליון ד' שווי נכסים שהוחזקו ע"י התוקף במה שהם מגדירים כ"ניצול נגד" (Counter Exploit), והעבירו אותם לארנק שבשליטתם.
הכשרה ייחודית בתחום הבלוקצ'יין
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
הם כבר בפנים:
ללמוד מהמובילים בתעשייה ולשדרג את העתיד שלכם!
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
הוראת בית משפט
מאז בוצעה הפריצה בפברואר 2022, ההאקר העביר את הנכסים באמצעות אפליקציות מבוזרות על אתריום, כגון Oasis.
בפוסט בבלוג של Oasis שהתפרסם במהלך סוף השבוע, מתואר כיצד התקבל ב-21 בפברואר צו מבית המשפט העליון של אנגליה וויילס "לנקוט בכל הצעדים האפשריים שתוצאתם תוביל להחזרת הנכסים שמשויכים עם הארנקים הדיגיטליים שביצעו את הפריצה ל-Wormhole".
בעקבות זאת בחרו ב-Oasis לציית לחוק והעבירו את המטבעות לנאמן צד שלישי שאושר ע"י בית המשפט, שהתגלה ע"י Blockworks כחברת המסחר Jump Crypto – זו שפיצתה את קורבנות Wormhole במעמד גניבת המטבעות בשנה שעברה.
איך זה בכלל אפשרי בפרויקט מבוזר?
השאלה המתבקשת היא כיצד זה כלל אפשרי, שכן למפתחי האפליקציה לא אמורה להיות שליטה במטבעות של המשתמשים.
אך מתברר, על פי הפוסט בבלוג, שצוות Whitehat (האקרים "לבנים") פנה לפרויקט בצורה עצמאית והסביר כיצד זה יכול להתבצע, תוך שימוש ב"פרצת אבטחה שלא הייתה ידועה קודם לכן בעיצוב ממשק האדמין והגישה שלו לחתימות הדיגיטליות".
ב-Oasis "מדגישים" שהגישה הזו הייתה שם "עבור מטרה יחידה של הגנת המשתמשים מפני מתקפות פוטנציאליות וכדי להכיל שינוי קוד מהיר במקרה של פרצת אבטחה," וכי לא בוצע שימוש בעבר, או יבוצע בהווה או בעתיד, בכלי הזה.
בעוד שהשימוש במקרה הנוכחי היה חיובי והוביל להחזרת כספים אבודים לקורבנות, מדובר במקרה חסר תקדים שממחיש את מידת הריכוזיות הקיימת בפרויקטים בתעשייה, ואת היכולת – לטוב ולרע – לבצע שינויים ברשת ובאפליקציות.