Questo è uno dei più grandi attacchi a una piattaforma finanziaria decentralizzata (DeFi). Il protocollo Wormhole ha visto scomparire ieri 320 milioni di dollari in WrappedEther (wETH). Uno sguardo a quello che sappiamo finora.
La piattaforma wormhole subisce un attacco da 320 milioni di dollari
Come promemoria, Wormhole è un protocollo di interoperabilità blockchain. Permette in particolare di creare ponti tra Ethereum e Solana. Per fare questo, il protocollo utilizza “Wrapped Ether”, token che rappresentano Ethers (ETH) che sono compatibili con Solana.
Sono questi token che sono stati presi di mira. L’attacco è stato annunciato ieri da una comunicazione dei team del progetto:
‼️ La rete wormhole è fuori uso per manutenzione mentre esaminiamo un potenziale exploit.
Forniremo aggiornamenti qui non appena li avremo.
Grazie per la tua pazienza.
– Wormhole (@wormholecrypto) February 2, 2022
Hanno annunciato che la vulnerabilità era stata risolta poche ore dopo, ma il danno era fatto. Sono stati rubati 320 milioni di dollari in WETH. Il protocollo è stato temporaneamente fermato, e Wormhole ha confermato che gli ETH sarebbero stati aggiunti di nuovo in modo che i wETH sarebbero stati sostenuti al rapporto 1:1.
Una ricompensa per aver esposto la vulnerabilità
Wormhole ha inviato un messaggio all’attaccante, offrendo un accordo:
“Abbiamo notato che sei stato in grado di sfruttare il processo di verifica Solana e produrre token. Vorremmo offrirti un accordo whitehat e una ricompensa di 10 milioni di dollari per aver trovato questo bug, se ci restituisci il wETH. “
L’attaccante ha fatto uso del processo di produzione di Wormhole wETH. Gli utenti possono infatti bloccare il loro ETH in un contratto intelligente, e ricevere in cambio “Wrapped Ether” compatibile con Solana. Sembrerebbe che sia riuscito a produrre questi wETH senza prima bloccare ETH, manipolando il meccanismo di convalida.
Questo è uno dei più grandi attacchi nel settore della finanza decentralizzata fino ad oggi. È secondo solo all’hacking di Poly Network dello scorso agosto, che ha permesso all’aggressore di portarsi via 600 milioni di dollari in criptovalute. Questi sono stati poi restituiti al protocollo. Per ora, tuttavia, l’attaccante di Wormhole non ha indicato di voler accettare l’offerta.
