Разработчики блокчейн-проекта отобрали у хакера украденные криптовалюты на миллионы долларов. Как они это сделали?

Отметим, что взлом блокчейн-моста Wormhole стал одним из главных хаков 2022 года. Сумма убытков оценивалась в 326 миллионов, причём компания Jump Crypto смогла компенсировать убытки.

При этом взлом не стал наиболее значимым провалом за данный год в нише крипты. По данным аналитиков, куда больший финансовый урон инвесторам нанесло банкротство криптовалютной биржи FTX. Убытки в ходе данного инцидента оказались практически в два раза больше в сравнении с кейсом Wormhole.

Основатель FTX Сэм Банкман-Фрид перед судебным заседанием

Сейчас разработчики платформы вернули большую часть монет. Однако и здесь всё прошло не так гладко с точки зрения децентрализации.

Как борются с криптовалютными хакерами

В итоге хакер перевёл украденные токены на различные кошельки и децентрализованные протоколы. Одним из них был Oasis, команда которой в сотрудничестве с правительственными органами Великобритании и разработчиком Wormhole под названием Jump Crypto проделала работу по возврату средств. Причём событие стало заметным — в первую очередь из-за объёма возвращённых активов.

Согласно данным источников Cointelegraph, суть произошедшего команда Oasis опубликовала в своём блоге. Вот соответствующая цитата из данной публикации.

21 февраля 2023 года мы получили постановление Высокого суда Англии и Уэльса о принятии всех необходимых мер, которые приведут к извлечению определённых активов, связанных с адресом кошелька, фигурировавшего в атаке на Wormhole 2 февраля 2022 года. Это было выполнено в соответствии с требованиями судебного приказа, как того требует закон, с помощью кошелька с мультиподписью и уполномоченной судом третьей стороны.

То есть в данном случае разрешение на возврат средств любым доступным способом было предоставлено судом. В итоге эта деталь в том числе вызвала критику любителей децентрализованных активов.

Кошельки, которые участвовали в переводе средств

Представители Oasis также подтвердили, что изъятые средства были переведены на кошелёк третьей стороны – именно они сейчас могут распоряжаться деньгами. Это решение исходило не от руководства Oasis, а от постановления суда. Ну а та самая третья сторона и есть компанией Jump Crypto.

История транзакций хранилищ Oasis показывает, что из них были выведены 120 695 wsETH и 3213 rETH, которые являются различными версиями нативного токена сети Эфириума. У хакера также был долг в размере 78 миллионов токенов стейблкоина DAI. Сообщается, что и эти средства получилось вывести на кошелёк Jump Crypto.

Криптовалютный хакер

Помимо этого, в посте команды Oasis было уделено внимание самому процессу вывода средств из кошельков хакера. Представители компании продолжают.

Наша команда впервые узнала о возможности оказать помощь в возвращении активов после того, как группа белых хакеров обратилась к нам вечером в четверг 16 февраля 2023 года. Они продемонстрировали возможность возвращения денег и предоставили доказательство концепции того, как это может быть достигнуто. То, что произошло накануне, стало возможным только благодаря ранее неизвестной уязвимости в кошельке с мультиподписью.

То есть в итоге разработчики использовали уязвимость в собственном протоколе для того, чтобы отобрать ранее украденную криптовалюту у хакера. Соответственно, по сути они взломали свою платформу для того, чтобы отобрать активы пользователя. Конечно, в данном случае речь идёт о хакере, который похитил чужую собственность. Однако факт возможности вывода криптоактивов у владельца монет без его согласия не соответствует идеалам децентрализации, в связи с чем разработчики получили порцию критики.

Блокчейн-мост

Напомним, кошелёк с мультиподписью – это специальный кошелёк, проводить транзакции с которого можно лишь при наличии нескольких приватных ключей. Таким образом ответственность за сохранность монет распределяется между несколькими людьми, что в любом случае повышает безопасность активов. В данном случае монеты хакера находились как раз на таком кошельке, то есть мошенник явно не ожидал подобных действий от разработчиков проекта.

Как мы уже отметили, факт перевода денег из кошелька с мультиподписью можно перевести на другой адрес без ведома его владельца однозначно вызывает опасения без учёта контекста ситуации. Именно поэтому команда Oasis написала в своем блоге следующее.

Мы подчёркиваем, что эти действия были совершены исключительно с целью защиты пользовательских активов в случае потенциальной атаки, они позволили бы нам быстро устранить любую обнаруженную уязвимость. Следует отметить, что ни в прошлом, ни в настоящем активы пользователей не подвергались риску доступа к ним посторонних лиц.

Как бы там ни было, в данном случае прецедент уже создан, а значит подобные ситуации могут случиться и в будущем. Конечно, разработчики вряд ли будут трогать деньги обычных пользователей без отрицательных заслуг, однако последним так или иначе стало понятно, что даже отправленные в децентрализованный протокол криптовалюты по сути им не принадлежат.

На ситуация отреагировал руководитель платформы ShapeShift и известный поклонник Биткоина Эрик Вурхис, который ждёт роста BTC до 40 тысяч долларов к лету. Вот его цитата из твита.

Тест платформы Oasis. Если блокчейн или приложение могут быть модифицированы из-за указания суда, они не являются децентрализованными и не могут позиционироваться как представители индустрии DeFi.

Хакер, который украл биткоины


Мы считаем, что в данном случае разработчики скорее правы, чем нет. Всё же хакер отобрал деньги многих невинных пользователей, чем создал для них существенные проблемы. Поэтому сейчас возврат средств — более приоритетное задание, чем соблюдение идеалов децентрализации, которые при этом также важны. Впрочем, взламывать кошелёк повторно и забирать деньги нормальных пользователей руководство Oasis явно не будет, так что здесь можно расслабиться. Однако большую часть своих монет в любом случае безопаснее держать на аппаратных кошельках.