Jump Crypto与Oasis协作，成功收回Wormhole 2022年被盗的12万枚ETH

本文来自 Blockworks ，原文作者：JON RICE & DAN SMITH

Odaily 星球日报译者 | 念银思唐

在 Jump Crypto 和 Oasis 之间的协同努力下， 2022 年 2 月攻击 Wormhole 的黑客似乎成为了“被攻击者”。

就在一年多以前（2022 年 2 月 3 日）， Wormhole 跨链桥遭到黑客攻击 ，成为加密行业最大规模的安全事件之一。总共有大约 12 万枚 ETH 被盗，当时价值高达 3.25 亿美元。

之后 Jump Crypto 宣布投入 12 万枚以太坊以弥补 Wormhole 被盗损失 ，支持 Wormhole 继续发展。Jump Crypto 称 相信多链的前景以及相信 Wormhole 是未来必不可少的基础设施，因此将继续支持 Wormhole，帮助其持续发展。

Jump Crypto 位于芝加哥，系 Jump Trading 旗下的加密货币部门，参与了 Wormhole 协议的开发。

当时 Wormhole 向黑客提供 1000 万美元的漏洞赏金和白帽协议，以换取他们归还资金。但这似乎从未发生过。

Jump Trading Group 总裁兼首席投资官 Dave Olsen 一个月后告诉彭博社：“我们正在与政府资源和私人资源进行密切磋商。其中很多是追踪此类罪犯的专家。我们将一直为此战斗。所以，这不是我们下个月或明年就会分心的事情，这是一项永久性的努力。”

根据 Blockworks Research 的链上分析，Jump 最终赢得了这场战斗。就在三天前，这些资金似乎已经被收回。

Jump Crypto 拒绝就调查结果置评，Oasis 也没有回复置评请求。

然而，Oasis 在本文发表后发表了一份 声明 ，指出：

“ 2023 年 2 月 21 日，我们收到英格兰和威尔士高等法院的命令，要求我们采取一切必要措施，追回与 2022 年 2 月 2 日 Wormhole 攻击事件相关钱包地址涉及的某些资产。根据法律要求，这是在法院命令下使用 Oasis Multisig 和法院授权的第三方开展的举措。

我们还可以确认，按照法院命令的要求，这些资产立即被转移到由授权第三方控制的钱包上。我们不保留对这些资产的控制权或访问权。”

Blockworks Research 分析师 Dan Smith 详细描述了这一过程 ：

“交易历史表明，Jump Crypto 和 Oasis 合作，逆向攻击了一个可升级的 Oasis 合约，从最初 Wormhole 攻击者的金库中获得被盗资金。

该攻击者不断通过各种以太坊应用程序转移被盗资金。他们最近开设了两个 Oasis 金库，在两个 ETH 质押衍生品上建立了杠杆多头头寸。重要的是，两个金库都使用 Oasis 提供的自动化服务。

此次逆向攻击（counter exploit）行动涉及了数个钱包。每个地址都被定义并命名，以便在整个分析过程中使用：

- Oasis Multisig：拥有 Oasis 代理合约的 12 个 Multisig 中的 4 个。

- Holder：目前持有所回收的资金，似乎属于 Jump。

- Sender：负责执行逆向攻击，似乎属于 Jump。

该过程始于 2 月 21 日，当时 Sender 被添加为 Oasis Multisig 的签名人。Sender 执行了 5 笔交易以推进逆向攻击，随后作为 Oasis Multisig 的签名人被移除。

资金回收过程的大部分是在 Sender 到 Oasis Multisig 的第三笔交易中执行的。为了快速总结这次交易，Sender“利用”了 Oasis 合约，允许它将抵押品和债务从攻击者的金库转移到 Sender 自身的金库。

在控制了攻击者的金库后，一个被数家分析公司标记为 Jump Crypto 的钱包向 Sender 发送了 8000 万枚 DAI。这些 DAI 被用来偿还该金库的未偿贷款，并提取了 2.18 亿美元的抵押品。然后，收回的抵押品被送往资金目前所在的 Holder。

目前尚不清楚 Sender 和 Holder 是否属于 Oasis 或 Jump。然而，基本情况假设是 Jump 拥有这些地址的控制权，因为 Jump 偿还了债务以撤回抵押品。Jump 和 Oasis 都没有证实这一点。

因此，Jump 似乎成功地反击了 Wormhole 攻击者，并收回了一年前从它那里被盗的 ETH。去除偿还 DAI 以收回抵押品的这部分资金，此次逆向攻击的净收益约为 1.4 亿美元。”

跨链桥攻击造成了加密行业中许多最大的盗窃事件，包括导致 5.4 亿美元损失的 Ronin 黑客攻击， 后来被认为是朝鲜黑客组织 Lazarus 所为 。

但是，透明、开放的无许可公共区块链，正被证明是打击金融犯罪的“秘密武器”。

攻击黑客的道德问题，乃至合法性问题，在未来可能会引起争论。但就目前而言，Jump Crypto 似乎比上周多了 1.4 亿美元进账。

与此同时，一名黑客可能正在暗暗后悔错过了获得 1000 万美元漏洞赏金和“免罪卡”的机会吧。