Most Wormhole zhakowany. Skradziono środki warte 321 milionów dolarów

1 634

Protokół Wormhole potwierdził, że padł ofiarą exploita w wymiarze 120 000 Wrapped Ethereum (WETH) o wartości ponad 320 milionów dolarów.

Wormhole zhakowany

Na twitterowym koncie Wormhole pojawił się wczoraj wpis informujący o tym, że protokół nie działa z powodu wystąpienia „potencjalnego exploita”:

Zespół Wormhole zapewnił społeczność, że jego zasoby ETH zostaną uzupełnione, aby „przywrócić wsparcie WETH w stosunku 1:1”. W chwili przygotowywania niniejszej publikacji nie podano jeszcze informacji na temat tego, skąd miałyby pochodzić te środki.

Deweloperzy negocjują z hakerem za pośrednictwem Notifi. W wiadomości umieszczonej na blockchainie Ethereum czytamy: „Zauważyliśmy, że udało Ci się dokonać exploita weryfikacji VAA Solana i wybić tokeny. Chcielibyśmy zaproponować ci ugodę, w myśl której otrzymasz 10 mln USD nagrody za ujawnienie szczegółów exploita i zwrócisz wETH, które wybiłeś.”

VAA (validator action approval) oznacza „zatwierdzenie działania walidatora” i odnosi się do procesu, w którym zatwierdzane są transakcje.

Droga na skróty

Wormhole to most, który umożliwia użytkownikom wysyłanie i odbieranie aktywów cyfrowych między sieciami Ethereum, Solana, BSC, Polygon, Avalanche, Oasis i Terra bez konieczności korzystania z usług scentralizowanej giełdy (CEX).

Umożliwia użytkownikom jednego łańcucha pobieranie „opakowanych” (ang. wrapped) zasobów cyfrowych i używanie ich w innym łańcuchu, często dzięki czemu mogą korzystać z niższych opłat lub różnych aplikacji w sieciach.

Aby wprowadzić swoje ETH do Solany, użytkownicy muszą najpierw umieścić je w smart kontrakcie, a następnie uzyskać równoważną kwotę w WETH. Następnie mogą wymienić WETH na tokeny oparte na Solanie. Wygląda na to, że hakerowi udało się pójść na skróty i wybić WETH bez blokowania ETH.

Jak przebiegał hack?

Hack miał miejsce 2 lutego około godziny 19:24. Haker wybił 120 000 WETH (WETH) na Solanie, a następnie wymienił 93 750 WETH na ETH o wartości 254 mln USD w sieci Ethereum (około 19:28). Od tego czasu wykorzystał pewne środki na zakup SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) i Bored Ape Yacht Club Token (APE).

Pozostałe WETH zostały zamienione na SOL i USDC na Solanie. Portfel Solana hakera zawiera obecnie 432 662 SOL (44 miliony dolarów).

wormhole zhakowane
źródło: link

O szczegółową analizę przebiegu hacku pokusił się @samczsun:

Według danych dostarczonych przez analityków firmy zajmującej się audytem smart kontraktów – Certik, inne aktywa oraz łańcuchy obsługiwane przez Wormhole nie padły ofiarą ataku. W opublikowanym dziś raporcie czytamy, że „możliwe, że most Wormhole do blockchainu Terra ma tę samą lukę, co ich most Solana”.

Łapka w dół dla aplikacji cross chain

Wszystko wskazuje na to, że Wormhole padł ofiarą tego, przed czym jeszcze tak niedawno ostrzegał Vitalik Buterin.

Współzałożyciel Ethereum wyraził sprzeciw wobec stosowania rozwiązań cross-chain przez Ethereum i inne blockchainy, ze względu na zwiększone wektory ataków połączonych zasobów, gdy są one przesyłane przez coraz większą liczbę łańcuchów i zdecentralizowanych aplikacji.

Przedstawiony przez Buterina scenariusz wyglądał następująco:  jeśli atakujący zdeponowałby własne ETH na moście Solana (SOL), aby uzyskać opakowany ether (WETH), a następnie cofnął tę transakcję po stronie Ethereum, gdy tylko Solana by to potwierdziła, przyniosłoby to straty użytkownikom, których tokeny są zablokowane w kontrakcie SOL-WETH, ponieważ opakowane tokeny nie byłyby już zabezpieczone oryginałem w stosunku 1:1.

Jak wspomniał David Mihal, hack Wormhole może nieść ze sobą szereg implikacji:

Może Cię zainteresować:

Komentarze