Dies ist einer der größten Angriffe auf eine dezentralisierte Finanzplattform (DeFi). Das Wormhole-Protokoll sah im Laufe des gestrigen Tages 320 Millionen Dollar in WrappedEther (wETH) verschwinden. Ein Überblick über das, was wir bislang wissen.
Die Plattform Wormhole erleidet einen 320 Millionen Dollar schweren Angriff
Zur Erinnerung: Wormhole ist ein Protokoll zur Interoperabilität von Blockchains. Es ermöglicht insbesondere, Brücken zwischen Ethereum und Solana zu bauen. Dazu verwendet das Protokoll sogenannte „Wrapped Ether“, Token, die Ether (ETH) repräsentieren und mit Solana kompatibel sind.
Auf diese Token wurde der Angriff gerichtet. Der Angriff wurde gestern durch eine Mitteilung der Projektteams angekündigt:
‼️ The wormhole network is down for maintenance as we look into a potential exploit.
Wir werden hier Updates bereitstellen, sobald wir sie haben.
Thank you for your patience.
– Wormhole (@wormholecrypto) February 2, 2022
Sie gaben bekannt, dass die Sicherheitslücke einige Stunden später behoben worden sei, doch der Schaden war bereits angerichtet. 320 Millionen Dollar in wETH wurden entwendet. Das Protokoll wurde vorübergehend gestoppt, und Wormhole bestätigte, dass wieder ETHs hinzugefügt würden, um die wETHs mit dem Verhältnis 1:1 zu unterlegen.
Eine Belohnung für das Aufdecken der Sicherheitslücke
Wormhole schickte dem Angreifer eine Nachricht und bot ihm einen Deal an:
“ Wir haben festgestellt, dass Sie den Verifizierungsprozess von Solana ausnutzen und Token produzieren konnten. Wir möchten Ihnen einen „Whitehat“-Deal anbieten und Ihnen eine Belohnung von 10 Millionen US-Dollar für die Entdeckung dieses Fehlers anbieten, wenn Sie die wETHs zurückgeben. „
Der Angreifer machte sich den Wormhole-Prozess zur Herstellung von wETHs zunutze. Die Nutzer können nämlich ihre ETHs in einem Smart Contract sperren und erhalten im Gegenzug „Wrapped Ether“, das mit Solana kompatibel ist. Es scheint also, dass es Wormhole gelungen ist, diese wETHs ohne vorheriges Sperren von ETHs herzustellen, indem er den Validierungsmechanismus manipuliert hat.
Es handelt sich hierbei um einen der bislang größten Angriffe auf den dezentralen Finanzsektor. Er wird nur noch von dem Hack des Poly Network im August letzten Jahres übertroffen, bei dem der Angreifer Kryptowährungen im Wert von 600 Millionen US-Dollar erbeutet hatte. Diese waren anschließend an das Protokoll zurückgegeben worden. Bisher hat der Wormhole-Angreifer jedoch noch nicht angedeutet, dass er das Angebot annehmen möchte.
