Jump Crypto, società di infrastrutture Web3, e Oasis.app, piattaforma di finanza decentralizzata, hanno condotto un "contro exploit" nei confronti dell'hacker del protocollo Wormhole, riuscendo a recuperare 225 milioni di dollari in asset digitali e a trasferirli in un wallet sicuro.

L'attacco Wormhole è avvenuto nel Febbraio 2022 e ha portato al furto di circa 321 milioni di dollari in Wrapped ETH (wETH) grazie a una vulnerabilità nel token bridge del protocollo.

Da allora l'hacker ha spostato i fondi rubati su varie applicazioni decentralizzate (dApp) basate su Ethereum e, tramite Oasis, il 23 Gennaio ha aperto un caveau Wrapped Staked ETH (wstETH) oltre a quello di Rocket Pool ETH (rETH) aperto l'11 Febbraio.

In un post del 24 Febbraio, il team di Oasis.app ha confermato l'esistenza di un contro-exploit, sottolineando di aver "ricevuto un ordine dall'Alta Corte d'Inghilterra e Galles" per recuperare alcuni asset collegati all'"indirizzo associato al Wormhole Exploit".

Il team ha dichiarato che il recupero è stato effettuato tramite "Oasis Multisig e una terza parte autorizzata dal tribunale", identificata come Jump Crypto in un precedente rapporto di Blockworks Research.

La cronologia delle transazioni di entrambi i caveau riporta che il 21 Febbraio 120.695 wsETH e 3.213 rETH sono stati spostati da Oasis e collocati in wallet sotto il controllo di Jump Crypto. L'hacker aveva anche circa 78 milioni di dollari di debito nella stablecoin DAI di MakerDao che è stata recuperata.

"Possiamo anche confermare che gli asset sono stati immediatamente trasferiti in un wallet controllato dalla terza parte autorizzata, come richiesto dall'ordinanza del tribunale. Non abbiamo alcun controllo o accesso a questi asset", si legge nel blog.

Tweet di @spreekaway sul contro exploit: Twitter

Riguardo alle implicazioni negative del fatto che Oasis sia in grado di prelevare le criptovalute dai vault degli utenti, il team ha sottolineato che ciò è stato "possibile solo a causa di una vulnerabilità precedentemente sconosciuta nella progettazione dell'accesso admin multisig".

Il post afferma che tale vulnerabilità è stata evidenziata dagli hacker white hat all'inizio di questo mese.

"Sottolineiamo che questo accesso era stato creato con l'unico intento di proteggere le risorse degli utenti in caso di potenziali attacchi e ci avrebbe permesso di intervenire rapidamente per correggere qualsiasi vulnerabilità che ci fosse stata rivelata. Va precisato che in nessun momento, né in passato né oggi, le risorse degli utenti sono state a rischio di accesso da parte di soggetti non autorizzati".