Компания Jump Crypto, занимающаяся разработкой Web3-проектов, вместе с представителями децентрализованной платформы Oasis вернула эквивалент 225 миллионов долларов в цифровых активах. Монеты были отобраны у хакера, который взломал блокчейн-мост Wormhole в 2022 году. Данная атака состоялась в феврале, причём тогда злоумышленнику удалось украсть примерно 326 миллион долларов в крипте. Теперь большая часть этих средств вернулась владельцу — хотя инцидент в итоге вызвал вопросы внутри блокчейн-сообщества. Рассказываем о происходящем подробнее.
Отметим, что взлом блокчейн-моста Wormhole стал одним из главных хаков 2022 года. Сумма убытков оценивалась в 326 миллионов, причём компания Jump Crypto смогла компенсировать убытки.
При этом взлом не стал наиболее значимым провалом за данный год в нише крипты. По данным аналитиков, куда больший финансовый урон инвесторам нанесло банкротство криптовалютной биржи FTX. Убытки в ходе данного инцидента оказались практически в два раза больше в сравнении с кейсом Wormhole.
Основатель FTX Сэм Банкман-Фрид перед судебным заседанием
Сейчас разработчики платформы вернули большую часть монет. Однако и здесь всё прошло не так гладко с точки зрения децентрализации.
Как борются с криптовалютными хакерами
В итоге хакер перевёл украденные токены на различные кошельки и децентрализованные протоколы. Одним из них был Oasis, команда которой в сотрудничестве с правительственными органами Великобритании и разработчиком Wormhole под названием Jump Crypto проделала работу по возврату средств. Причём событие стало заметным — в первую очередь из-за объёма возвращённых активов.
Согласно данным источников Cointelegraph, суть произошедшего команда Oasis опубликовала в своём блоге. Вот соответствующая цитата из данной публикации.
21 февраля 2023 года мы получили постановление Высокого суда Англии и Уэльса о принятии всех необходимых мер, которые приведут к извлечению определённых активов, связанных с адресом кошелька, фигурировавшего в атаке на Wormhole 2 февраля 2022 года. Это было выполнено в соответствии с требованиями судебного приказа, как того требует закон, с помощью кошелька с мультиподписью и уполномоченной судом третьей стороны.
То есть в данном случае разрешение на возврат средств любым доступным способом было предоставлено судом. В итоге эта деталь в том числе вызвала критику любителей децентрализованных активов.
Кошельки, которые участвовали в переводе средств
Представители Oasis также подтвердили, что изъятые средства были переведены на кошелёк третьей стороны – именно они сейчас могут распоряжаться деньгами. Это решение исходило не от руководства Oasis, а от постановления суда. Ну а та самая третья сторона и есть компанией Jump Crypto.
История транзакций хранилищ Oasis показывает, что из них были выведены 120 695 wsETH и 3213 rETH, которые являются различными версиями нативного токена сети Эфириума. У хакера также был долг в размере 78 миллионов токенов стейблкоина DAI. Сообщается, что и эти средства получилось вывести на кошелёк Jump Crypto.
Криптовалютный хакер
Помимо этого, в посте команды Oasis было уделено внимание самому процессу вывода средств из кошельков хакера. Представители компании продолжают.
Наша команда впервые узнала о возможности оказать помощь в возвращении активов после того, как группа белых хакеров обратилась к нам вечером в четверг 16 февраля 2023 года. Они продемонстрировали возможность возвращения денег и предоставили доказательство концепции того, как это может быть достигнуто. То, что произошло накануне, стало возможным только благодаря ранее неизвестной уязвимости в кошельке с мультиподписью.
То есть в итоге разработчики использовали уязвимость в собственном протоколе для того, чтобы отобрать ранее украденную криптовалюту у хакера. Соответственно, по сути они взломали свою платформу для того, чтобы отобрать активы пользователя. Конечно, в данном случае речь идёт о хакере, который похитил чужую собственность. Однако факт возможности вывода криптоактивов у владельца монет без его согласия не соответствует идеалам децентрализации, в связи с чем разработчики получили порцию критики.
Блокчейн-мост
Напомним, кошелёк с мультиподписью – это специальный кошелёк, проводить транзакции с которого можно лишь при наличии нескольких приватных ключей. Таким образом ответственность за сохранность монет распределяется между несколькими людьми, что в любом случае повышает безопасность активов. В данном случае монеты хакера находились как раз на таком кошельке, то есть мошенник явно не ожидал подобных действий от разработчиков проекта.
Как мы уже отметили, факт перевода денег из кошелька с мультиподписью можно перевести на другой адрес без ведома его владельца однозначно вызывает опасения без учёта контекста ситуации. Именно поэтому команда Oasis написала в своем блоге следующее.
Мы подчёркиваем, что эти действия были совершены исключительно с целью защиты пользовательских активов в случае потенциальной атаки, они позволили бы нам быстро устранить любую обнаруженную уязвимость. Следует отметить, что ни в прошлом, ни в настоящем активы пользователей не подвергались риску доступа к ним посторонних лиц.
Как бы там ни было, в данном случае прецедент уже создан, а значит подобные ситуации могут случиться и в будущем. Конечно, разработчики вряд ли будут трогать деньги обычных пользователей без отрицательных заслуг, однако последним так или иначе стало понятно, что даже отправленные в децентрализованный протокол криптовалюты по сути им не принадлежат.
На ситуация отреагировал руководитель платформы ShapeShift и известный поклонник Биткоина Эрик Вурхис, который ждёт роста BTC до 40 тысяч долларов к лету. Вот его цитата из твита.
Тест платформы Oasis. Если блокчейн или приложение могут быть модифицированы из-за указания суда, они не являются децентрализованными и не могут позиционироваться как представители индустрии DeFi.
Хакер, который украл биткоины
Мы считаем, что в данном случае разработчики скорее правы, чем нет. Всё же хакер отобрал деньги многих невинных пользователей, чем создал для них существенные проблемы. Поэтому сейчас возврат средств — более приоритетное задание, чем соблюдение идеалов децентрализации, которые при этом также важны. Впрочем, взламывать кошелёк повторно и забирать деньги нормальных пользователей руководство Oasis явно не будет, так что здесь можно расслабиться. Однако большую часть своих монет в любом случае безопаснее держать на аппаратных кошельках.