To jeden z największych ataków na zdecentralizowaną platformę finansową (DeFi). W protokole Wormhole zniknęło wczoraj 320 milionów dolarów w WrappedEther (wETH). Spojrzenie na to, co wiemy do tej pory.
Wormhole Platform suffers $320 million attack
Dla przypomnienia, Wormhole to protokół interoperacyjności blockchain. Pozwala to w szczególności na tworzenie mostów pomiędzy Ethereum a Solaną. Aby to zrobić, protokół wykorzystuje „Wrapped Ether”, tokeny reprezentujące ETH, które są kompatybilne z Solaną.
To właśnie te tokeny stały się celem ataku. O ataku poinformowano wczoraj w komunikacie zespołów projektowych:
‼️ Sieć wormhole jest wyłączona w celu konserwacji, ponieważ sprawdzamy potencjalny exploit.
Jak tylko będziemy mieli aktualizacje, podamy je tutaj.
Dziękuję za cierpliwość
– Wormhole (@wormholecrypto) 2 lutego 2022
Ogłosili, że luka została załatana kilka godzin później, ale szkoda została wyrządzona. Skradziono 320 milionów dolarów wETH. Protokół został tymczasowo wstrzymany, a Wormhole potwierdził, że ETH zostaną ponownie dodane, tak aby wETH były wspierane w stosunku 1:1.
Nagroda za ujawnienie luki
Wormhole wysłał wiadomość do napastnika, oferując mu układ:
„Zauważyliśmy, że udało Ci się wykorzystać proces weryfikacji Solany i wyprodukować tokeny. Chcielibyśmy zaoferować ci whitehat deal i 10 milionów dolarów nagrody za znalezienie tego błędu, jeśli zwrócisz wETH. „
Atakujący wykorzystał proces produkcji wETH przez Wormhole. Użytkownicy mogą rzeczywiście zablokować swoje ETH do inteligentnego kontraktu, a w zamian otrzymują kompatybilny z Solaną „Wrapped Ether”. Wygląda na to, że udało mu się wyprodukować te wETH bez uprzedniego zablokowania ETH, poprzez manipulację mechanizmem walidacji.
Jest to jeden z największych dotychczasowych ataków w sektorze zdecentralizowanych finansów. Jest to drugi po włamaniu do Poly Network w sierpniu ubiegłego roku, które pozwoliło atakującemu odejść z 600 milionami dolarów w kryptowalutach. Zostały one następnie zwrócone do protokołu. Na razie jednak napastnik z Wormhole nie wyraził chęci przyjęcia oferty.
