Хакеры вывели из пула кроссчейн-моста Wormhole более $319 млн
В ночь на 3 февраля кроссчейн-протокол Wormhole на базе Solana подвергся хакерской атаке. Злоумышленники воспользовались эксплойтом и вывели из пула проекта 120 000 WETH (свыше $319 млн по курсу на момент написания).
— Wormhole🌪 (@wormholecrypto) February 3, 2022
Разработчики сообщили, что закрыли уязвимость и направили в пул «дополнительные ETH» для обеспечения поддержки ликвидности. На время расследования инцидента команда закрыла доступ к сервису.
Команда Wormhole сообщила, что «восстановила все средства» и открыла пользователям доступ к мосту. Вероятно, речь идет о компенсации. Подробные отчет об инциденте опубликуют позже.
The team is working on a detailed incident report and will share it asap
— Wormhole🌪 (@wormholecrypto) February 3, 2022
18:26 UTC — contract was exploited for 120k ETH
00:33 UTC — vulnerability was patched
13:08 UTC — ETH contract has been filled and all wETH are backed 1:1
13:29 UTC — the Portal (token bridge) is back up
Источники CoinDesk и The Block утверждают, что торговая компания Jump Trading предоставила команде Wormhole финансирование для восстановления потерянных ETH.
В августе 2021 года Jump Trading приобрела инфраструктурную фирму Certus One, которая стоит за разработкой кроссчейн-протокола.
Jump Trading подтвердила, что предоставила финансирование для компенсации потерь Wormhole. Компания отметила, что кроссчейн-мост является «важнейшей частью инфраструктуры».
.@JumpCryptoHQ believes in a multichain future and that @WormholeCrypto is essential infrastructure. That’s why we replaced 120k ETH to make community members whole and support Wormhole now as it continues to develop.
— Jump Crypto 🦬 (@JumpCryptoHQ) February 3, 2022
В CertiK объяснили, что смарт-контракты Wormhole не выполняли полную проверку правильности входных данных, что позволяло инициировать транзакции с некорректными переменными. Благодаря этой уязвимости хакеры смогли выпустить WETH на свой адрес.
#IncidentAnalysis
— CertiK Security Leaderboard (@CertiKCommunity) February 3, 2022
In this case, the spoofed data will be passed and processed.
The mint authority for the Wormhole ETH is a PDA and will sign the “mint” instruction.
Lastly, the “invoked_seeded instr” will be successfully triggered and mint Wormhole ETH to the attacker. pic.twitter.com/YtoPZ2i5bo
Аналитик безопасности Paradigm под ником samczsun отметил, что команда проекта связалась с адресом злоумышленников в сети Ethereum. Разработчики предложили вернуть активы за вознаграждение в $10 млн.
holy fucking shit @wormholecrypto is not having a good time right now pic.twitter.com/Q6tcqAngCL
— samczsun (@samczsun) February 2, 2022
Он также подтвердил, что уязвимость связана с верификацией входных данных протоколом кроссчейн-моста. По словам аналитика, эксплойт позволял полностью обойти проверку подписи.
This meant that you could create your own account which stored the same data that the Instructions sysvar would have stored, and substituted that account for the Instruction sysvar in the call to `verify_signatures`. This would essentially bypass signature validation entirely.
— samczsun (@samczsun) February 3, 2022
Напомним, в январе 2022 года основатель Ethereum Виталик Бутерин назвал кроссчейн-мосты уязвимыми из-за проблем, связанных с безопасностью активов.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!