ក្រុមហ៊ុនហេដ្ឋារចនាសម្ព័ន្ធ Web3 Jump Crypto និងវេទិកាហិរញ្ញវត្ថុវិមជ្ឈការ (DeFi) Oasis.app បានធ្វើ "ការកេងប្រវ័ញ្ចប្រឆាំង" លើពួក Hacker ពិធីការ Wormhole ដោយអ្នកទាំងពីរបានទាមទារមកវិញនូវទ្រព្យសម្បត្តិឌីជីថលចំនួន 225 លានដុល្លារ ហើយផ្ទេរពួកគេទៅកាន់កាបូបដែលមានសុវត្ថិភាព។
ការវាយប្រហាររបស់ពពួក Wormhole បានកើតឡើងនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2022 ជាមួយនឹងតម្លៃប្រហែល 321 លានដុល្លារនៃ ETH (wETH) កេងប្រវ័ញ្ចតាមរយៈភាពងាយរងគ្រោះ នៅក្នុងស្ពាននិមិត្តសញ្ញានៃពិធីការ។
Hacker មានតាំងពីពេលនោះមក បានផ្លាស់ប្តូរមូលនិធិដែលលួច តាមរយៈកម្មវិធីវិមជ្ឈការដែលមានមូលដ្ឋានលើ Ethereum (DApps) ជាច្រើនដូចជា Oasis ដែលថ្មីៗនេះបានបើក wrapped stETH (wstETH) និង Rocket Pool ETH (RETH) តុដេក។
នៅក្នុងប្លក់ថ្ងៃទី ១៤ ខែកុម្ភៈ ក្រោយក្រុមការងារ Oasis.app បានបញ្ជាក់ថា ការកេងប្រវ័ញ្ចប្រឆាំងបានកើតឡើង ដោយបានគូសបញ្ជាក់ថា ខ្លួនបានទទួលបញ្ជាពីតុលាការកំពូលនៃប្រទេសអង់គ្លេស និងវេលស៍ ដើម្បីទៅយកទ្រព្យសម្បត្តិមួយចំនួនដែលទាក់ទងនឹង “អាសយដ្ឋានពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ច Wormhole”។
ក្រុមបាននិយាយថាការទាញយកមកវិញត្រូវបានផ្តួចផ្តើមតាមរយៈ "Oasis Multisig និងភាគីទីបីដែលមានការអនុញ្ញាតពីតុលាការ" ដែលត្រូវបានកំណត់ថាជា Jump Crypto នៅក្នុងរបាយការណ៍មុនពី Blockworks Research ។
ប្រវត្តិប្រតិបត្តិការរបស់តុដេកទាំងពីរបង្ហាញថា Oasis បានផ្លាស់ប្តូរ 120,695 wsETH និង 3,213 rETH នៅថ្ងៃទី 21 ខែកុម្ភៈ ហើយដាក់ក្នុងកាបូបក្រោមការគ្រប់គ្រងរបស់ Jump Crypto ។ ពួក Hacker ក៏មានបំណុលប្រហែល 78 លានដុល្លារនៅក្នុង Dai របស់ MakerDAO (DAI) stabilitycoin ដែលត្រូវបានទាញយកមកវិញ។
“យើងក៏អាចបញ្ជាក់បានថា ទ្រព្យសម្បត្តិត្រូវបានបញ្ជូនភ្លាមៗទៅកាន់កាបូបដែលគ្រប់គ្រងដោយភាគីទីបីដែលមានការអនុញ្ញាត ដូចដែលតម្រូវដោយដីការបស់តុលាការ។ យើងមិនរក្សាការគ្រប់គ្រងឬការចូលទៅកាន់ទ្រព្យសកម្មទាំងនេះទេ»។
ដោយយោងលើផលប៉ះពាល់អវិជ្ជមាននៃ Oasis ដែលអាចទាញយកទ្រព្យសម្បត្តិគ្រីបតូពីតុដេករបស់អ្នកប្រើប្រាស់របស់វា ក្រុមការងារបានសង្កត់ធ្ងន់ថាវា "អាចធ្វើទៅបានតែដោយសារតែភាពងាយរងគ្រោះដែលមិនស្គាល់ពីមុននៅក្នុងការរចនានៃការចូលប្រើពហុមុខងារគ្រប់គ្រង" ។
ដែលទាក់ទង: សុវត្ថិភាព DeFi៖ របៀបដែលស្ពានគ្មានទំនុកចិត្តអាចជួយការពារអ្នកប្រើប្រាស់
ការបង្ហោះបានបញ្ជាក់ថា ភាពងាយរងគ្រោះបែបនេះត្រូវបានគូសបញ្ជាក់ដោយពួក Hacker មួកសនៅដើមខែនេះ។
"យើងសង្កត់ធ្ងន់ថាការចូលប្រើនេះគឺនៅទីនោះក្នុងគោលបំណងតែមួយគត់ដើម្បីការពារទ្រព្យសម្បត្តិរបស់អ្នកប្រើប្រាស់ក្នុងករណីមានការវាយប្រហារដែលអាចកើតមាន ហើយនឹងអនុញ្ញាតឱ្យយើងផ្លាស់ទីយ៉ាងលឿនដើម្បីជួសជុលភាពងាយរងគ្រោះណាមួយដែលបានបង្ហាញដល់ពួកយើង។ វាគួរតែត្រូវបានកត់សម្គាល់ថា គ្មានចំណុចណាក៏ដោយ ក្នុងអតីតកាល ឬបច្ចុប្បន្ន ទ្រព្យសម្បត្តិរបស់អ្នកប្រើប្រាស់មានហានិភ័យក្នុងការចូលប្រើដោយភាគីដែលគ្មានការអនុញ្ញាតណាមួយឡើយ»។
- foobar (@ 0xfoobar) ខែកុម្ភៈ 24, 2023
ប្រភព៖ https://cointelegraph.com/news/jump-crypto-oasis-app-counter-exploits-wormhole-hacker-for-225m