风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Jump Crypto如何与Oasis通过逆向攻击追回12万枚ETH的Wormhole被盗资金

Jump Crypto和Oasis合作针对一份可升级的Oasis合约进行了逆攻击操作,从Wormhole黑客的金库(vaults)追回了被盗资金。

Jon Rice, Dan Smith
Jon Rice, Dan Smith
热度 ...

原文标题:Jump Crypto Just Counter-Exploited the Wormhole Hacker for $140 Million

原文作者:Jon Rice, Dan Smith

原文来源:Blockworks

编译:PANews、王尔玉

Jump Crypto和Oasis(Maker Dao生态产品)携手攻击了2022年2月臭名昭著的Wormhole事件黑客,追回了被盗资金。

大约一年前,Wormhole跨链桥遭遇了2022年最大规模的加密失窃事件之一。约12万枚ETH被盗,当时价值3.25亿美元。

总部位于芝加哥的交易公司Jump Trading的加密分支Jump Crypto参与了Wormhole协议的开发,事件发生后,该公司为Wormhole投入12万枚ETH,以弥补损失。该公司在当时的推文中指出,Jump致力于“维护社区成员的完整利益,支持Wormhole继续发展”。Wormhole向黑客提出了1000万美元漏洞赏金和白帽协议方案,以换取资金返还,但似乎未能如愿。

一个月后,Jump Trading集团总裁兼首席信息官Dave Olsen对彭博社表示:“我们正在与政府资源和私人资源进行密切磋商。有大量火力擅长追捕此类罪犯。我们已经长期参战。我们不会在下个月或明年就鸣金收兵,这是一场持久战。”

根据Blockworks Research的链上分析,Jump最终赢得了这场战斗。三天前,资金似乎已经追回。

Jump Crypto拒绝置评,Oasis未回复置评请求。

但Oasis在本文发表后发布了声明:“2023年2月21日,我方收到英格兰和威尔士高等法院的执行令,要求我方采取一切必要步骤,追回与2022年2月2日Wormhole攻击有关的钱包地址涉及的特定资产。此次行动是基于法院执行令和法律的要求进行的,过程中使用了Oasis Multisig,并与法院授权的一家第三方进行了合作。我方还可证实,根据法院执行令的要求,这些资产立即转移到了授权第三方控制的钱包中。我方没有对这些资产的控制权或访问权。”

Blockworks Research分析师Dan Smith详细介绍了追回过程:转账记录显示,Jump Crypto和Oasis合作针对一份可升级的Oasis合约进行了逆攻击操作,从Wormhole黑客的金库(vaults)追回了被盗资金。

黑客已通过各种以太坊应用程序不断转移被盗资金。最近他们开设了两个Oasis金库,针对两个ETH质押衍生品建立了杠杆多头头寸。重点是,这两个金库都使用了Oasis提供的自动化服务。

几个钱包参与了此次逆攻击,分析中描述了每个地址的作用。

· Oasis Multisig地址:拥有Oasis代理合约的“4 of 12”多重签名。

· 持有地址:目前持有追回的资金,似乎由Jump所有。

关于【Jump Crypto如何与Oasis通过逆向攻击追回12万枚ETH的Wormhole被盗资金】的延伸阅读

  • Injective脱颖而出:深入对比Oasis 、Injective和 Near三条公链

    相对于其市值,Injective的交易量更高,这可能表明其吸引着更多的市场兴趣,交易更活跃。

  • Wormhole今晚空投并上所,W合理价格区间是?

    Wormhole将于今日19:30开启空投代币认领和发放,多家交易所已发布上线公告。W代币是原生多链代币,利用Solana和EVM链的优势,引入多链治理系统。W持有者可在不同链上锁定和委托代币,通过多链治理系统进行运营。本次空投将分配6.75%的代币,约有40万个钱包地址将获得空投。Wormhole拥有12%的核心贡献者、11.6%的网络参与者和23.3%的基金会。分析师预测Wormhole的价格可能在牛市中达到2.5美元,市值可能达到178.5亿美元。

· 发送地址:负责执行逆攻击,似乎由Jump所有。

逆攻击于2月21日启动,发送地址被添加为Oasis Multisig签名者。发送地址执行了五笔转账,为逆攻击铺路,随后被Oasis Multisig收回签名者身份。

追回过程主要发生在发送地址对Oasis Multisig的第三笔转账中。为快速汇总转账,发送地址欺骗了Oasis合约,使其允许将抵押品和债务从黑客的金库转移至发送地址自己的金库。

控制黑客金库后,Jump Crypto的一个钱包(若干分析公司认为该钱包属于Jump)向发送地址转移了8000万枚DAI,用于偿还金库的债务,并提取2.18亿美元的抵押品。随后,追回的抵押品被转移至目前的持有地址。

目前尚不清楚发送地址和持有地址属于Oasis还是Jump。考虑到Jump偿还了债务以提取抵押品,它们很有可能由Jump掌控。Jump和Oasis均未证实这一点。

综上所述,Jump似乎成功反击了Wormhole黑客,追回了一年前被盗的ETH。考虑到收回抵押品时支付的DAI,此次逆攻击的净回报约为1.4亿美元。”

加密行业许多最大规模的失窃案都涉及跨链桥攻击,包括导致5.4亿美元损失的Ronin黑客事件,该事件后来被认为是朝鲜国家黑客组织Lazarus所为。

不过,无需许可的区块链具备透明和开放的特性,事实证明,它也是一种打击金融犯罪的重要工具。

针对此次事件,业内可能会掀起关于逆攻击的伦理甚至合法性问题的讨论。但目前而言,Jump Crypto至少到手了约1.4亿美元。

同时,黑客可能后悔错过了获得1000万美元和“免罪卡”的机会。

责编:Lynn

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Jon Rice, Dan Smith,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1691127162.html

下一篇:

长推:从 Spotify 新功能「Token Gated Playlist」谈起,音乐产业如何与 Web3 结合?

有关音乐和Web3/SocialFi/Lens的结合的思考。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5