Il hacker di Wormhole è stato hackerato
Il 2 febbraio 2022, il ponte di Wormhole è stato vittima di un impressionante attacco informatico, permettendo ad un’entità malintenzionata di rubare 120.000 ETH per un valore di 320 milioni di dollari all’epoca. Questo non è stato senza conseguenze, in quanto una parte degli ETH sintetici (wETH) sulla blockchain Solana (SOL) non erano più garantiti. Per evitare un rischio sistemico, il fondo di investimento Jump Crypto, che aveva investito nel protocollo, aveva sostituito gli ETH rubati.
Da quel momento in poi era stato avviato un pesante lavoro di investigazione per cercare di recuperare i fondi rubati, e questa impresa sarebbe stata compiuta il 21 febbraio scorso. Infatti, l’hacker ha deciso di utilizzare l’applicazione di prestiti e prestiti Oasis per far lavorare i fondi illeciti.
Ma un gruppo di whitehat ha trovato una falla in Oasis, che avrebbe permesso di ribaltare la situazione a loro vantaggio. Il protocollo spiega infatti in un comunicato che ha ricevuto un ordine dalla High Court of England and Wales, per consentire all’operazione di svolgersi correttamente. Il suddetto gruppo di hacker etici aveva infatti avvicinato le squadre di Oasis con una prova di concetto il 16 febbraio scorso:
A statement regarding the transactions from the oasis multisig on 21st Feb 2023 https://t.co/ua78BAAEj4
— Oasis.app 🌴 (@oasisdotapp) February 24, 2023
Svolgimento dell'operazione
Quindi l’hacker di Wormhole è stato hackerato a sua volta. L’operazione, molto complessa dal punto di vista tecnico, che ha permesso il recupero dei fondi, è stata commentata in dettaglio dai nostri colleghi di Blockworks, e cercheremo di semplificarla il più possibile per renderla comprensibile.
Questo hacker ha aperto una posizione su Oasis, al fine di prendere in prestito 78 milioni di dollari di DAI, garantiti dai fondi che aveva rubato, allora sotto forma di wstETH. Per garantire la sicurezza della sua operazione, ha aggiunto uno stop-loss automatico, ma è qui che il protocollo Oasis ha presentato una falla che è stata sfruttata.
Infatti, i whitehat hanno scoperto che tale operazione permetteva ad un smart contract controllato dall’indirizzo multisig di Oasis di accedere a quei fondi. Questi whitehat sono stati quindi aggiunti come cosignatari del portafoglio multisig per il tempo della loro operazione.
Dopo una serie di manipolazioni, il gruppo è riuscito a spostare i fondi verso un indirizzo controllato “da un terzo autorizzato”, come richiesto dal tribunale.
Da parte sua, Oasis ha voluto rassicurare gli utenti:
"Quello che è successo il 21 febbraio 2023 è stato possibile solo a causa di una vulnerabilità fino ad allora sconosciuta nella progettazione dell'accesso amministratore multisig. [...] Va notato che in nessun momento, passato o presente, gli asset degli utenti sono stati esposti al rischio di accesso da parte di parti non autorizzate."
Sebbene questa operazione sia legittima e debba essere elogiata, potrebbe comunque sollevare interrogativi sulla vera decentralizzazione della finanza decentralizzata (DeFi) e dimostra che qualsiasi fondo è a rischio non appena viene depositato su un protocollo.