28.02.2023
Компании Jump Crypto, занимающейся разработкой Web3-проектов, вместе с представителями децентрализованной платформы Oasis удалось вернуть цифровые активы у хакера на сумму в 225 миллионов долларов, который взломал блокчейн-мост Wormhole в феврале 2022 года. Тогда злоумышленнику удалось украсть примерно 326 миллионов долларов в крипте. Теперь большая часть этих средств вернулась владельцу, но ситуация вызвала множество споров вокруг правомерности действий разработчиков. Взлом блокчейн-моста Wormhole стал одним из главных хаков 2022 года. Тогда компания Jump Crypto смогла компенсировать убытки. Хакер перевёл украденные токены на различные кошельки и децентрализованные протоколы. Одним из них был Oasis, команда которой в сотрудничестве с правительственными органами Великобритании и разработчиком Wormhole под названием Jump Crypto проделала работу по возврату средств. Событие стало заметным в первую очередь из-за объёма возвращённых активов. Суть работы по возврату цифровых активов команда Oasis опубликовала в своём блоге.
«21 февраля 2023 года мы получили постановление Высокого суда Англии и Уэльса о принятии всех необходимых мер, которые приведут к извлечению определённых активов, связанных с адресом кошелька, фигурировавшего в атаке на Wormhole 2 февраля 2022 года. Это было выполнено в соответствии с требованиями судебного приказа, как того требует закон, с помощью кошелька с мультиподписью и уполномоченной судом третьей стороны.»
Таким образом разрешение на возврат средств любым доступным способом было предоставлено судом, и этот аспект вызвал критику любителей децентрализованных активов. Представители Oasis также подтвердили, что изъятые средства были переведены на кошелёк третьей стороны – компании Jump Crypto, именно они сейчас могут распоряжаться деньгами. Это решение исходило не от руководства Oasis, а от постановления суда. История транзакций хранилищ Oasis показывает, что из них были выведены 120 695 wsETH и 3213 rETH, которые являются различными версиями нативного токена сети Эфириума. У хакера также был долг в размере 78 миллионов токенов стейблкоина DAI. Сообщается, что и эти средства получилось вывести на кошелёк Jump Crypto. Помимо этого, в посте команды Oasis было уделено внимание самому процессу вывода средств из кошельков хакера:
«Наша команда впервые узнала о возможности оказать помощь в возвращении активов после того, как группа белых хакеров обратилась к нам вечером в четверг 16 февраля 2023 года. Они продемонстрировали возможность возвращения денег и предоставили доказательство концепции того, как это может быть достигнуто. То, что произошло накануне, стало возможным только благодаря ранее неизвестной уязвимости в кошельке с мультиподписью.»
То есть в итоге разработчики использовали уязвимость в собственном протоколе для того, чтобы отобрать ранее украденную криптовалюту у хакера, это означает, что они взломали свою платформу для того, чтобы отобрать активы пользователя. Конечно, в данном случае речь идёт о хакере, который похитил чужую собственность. Однако факт возможности вывода криптоактивов у владельца монет без его согласия не соответствует идеалам децентрализации, в связи с чем разработчиков активно раскритиковали в сообществах. Дело в том, что кошелёк с мультиподписью – это специальный кошелёк, проводить транзакции с которого можно лишь при наличии нескольких приватных ключей. Ответственность за сохранность монет распределяется между несколькими людьми, что в любом случае повышает безопасность активов. В данном случае монеты хакера находились как раз на таком кошельке, то есть мошенник явно не ожидал подобных действий от разработчиков проекта. Факт перевода денег из кошелька с мультиподписью без ведома его владельца однозначно вызывает опасения без учёта контекста ситуации. Вот что команда Oasis написала по этому поводу в своем блоге:
«Мы подчёркиваем, что эти действия были совершены исключительно с целью защиты пользовательских активов в случае потенциальной атаки, они позволили бы нам быстро устранить любую обнаруженную уязвимость. Следует отметить, что ни в прошлом, ни в настоящем активы пользователей не подвергались риску доступа к ним посторонних лиц.»
Однако прецедент уже создан, значит подобные ситуации могут случиться в будущем. Конечно, разработчики вряд ли будут трогать деньги обычных пользователей, однако последним так или иначе стало понятно, что даже отправленные в децентрализованный протокол криптовалюты по сути им не принадлежат.
На инцидент отреагировал руководитель платформы ShapeShift и известный поклонник Биткоина Эрик Вурхис, который ждёт рост BTC до 40 тысяч долларов к лету:
«Тест платформы Oasis. Если блокчейн или приложение могут быть модифицированы из-за указания суда, они не являются децентрализованными и не могут позиционироваться как представители индустрии DeFi.»