Токен-мост Wormhole теряет $321 млн в результате крупнейшего на сегодняшний день взлома в 2022 году

Сегодня на токен-мосте Wormhole произошла эксплойт безопасности, в результате чего с платформы было потеряно 120 000 токенов wETH ($321 млн).

Wormhole — это мост для токенов, который позволяет пользователям отправлять и получать криптовалюту между Ethereum, Solana, BSC, Polygon, Avalanche, Oasis и Terra без использования централизованной биржи (CEX). На сегодняшний день это крупнейший крипто-взлом 2022 года и второй по величине взлом DeFi. Команда Wormhole предложила баунти в размере $10 млн за возврат средств.

Взлом произошел на стороне моста Солана, и есть опасения, что мост Wormhole на Терру может быть также уязвим.

Команда Wormhole заверила сообщество, что запас ETH будет пополнен, чтобы «гарантировать поддержку wETH 1:1», но пока не сообщается, откуда и когда поступят эти средства.

 

Эксплуатация сети червоточин стоила 120 тыс. wETH.

ETH будут добавлены в течение следующих часов, чтобы обеспечить поддержку wETH 1:1. Более подробная информация появится в ближайшее время.

Мы работаем над тем, чтобы быстро восстановить сеть. Спасибо за ваше терпение.

— Wormhole (@wormholecrypto) 2 февраля 2022 г.

 

Взлом произошел в 18:24 по Гринвичу 2 февраля. Злоумышленник намайнил 120 000 вэтов (WETH) на Solana, затем выкупил 93 750 вэтов за ETH на сумму 254 миллиона долларов в сети Ethereum в 6:28 вечера по UTC. После этого хакер использовал часть средств для покупки SportX (SX), Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации) Capital (MCAP), Finally Usable Crypto Karma (FUCK) и Bored Ape Yacht Club Token (APE).

Оставшиеся WETH были обменены на SOL и USDC на Solana. В настоящее время на кошельке хакера на Solana хранится 432 662 SOL (44 миллиона долларов).

Никаких других активов или цепочек, обслуживаемых Wormhole, затронуто не было, но компания Certik, занимающаяся аудитом смарт-контрактов, сообщила в своем сегодняшнем отчете, что «возможно, мост Wormhole к блокчейну Terra имеет ту же уязвимость, что и мост Solana». »

Команда Wormhole связалась с хакером через его Ethereum-адрес и предложила ему оставить себе украденные средства в размере 10 миллионов долларов, если остальные средства будут возвращены.

«Это Wormhole Deployer: Мы заметили, что вы смогли использовать верификацию Solana VAA и майнить токены. Мы хотели бы предложить вам соглашение whitehat и объявить вам баунти в размере 10 миллионов долларов за детали эксплойта и возврат намайненных вами wETH. Вы можете связаться с нами по адресу [email protected]»

На момент написания статьи токены wETH, отправленные через мост, еще не выкуплены, пока команда Wormhole пытается исправить эксплойт.

Это уже второй эксплойт смарт-контракта на токен-мосте за неделю. 28 января на BSC был взломан QBridge компании Qubit Finance на сумму 80 миллионов долларов. Это также напоминает взлом Poly Network в августе прошлого года, когда с платформы было украдено 610 миллионов долларов в криптовалюте. В том случае почти все средства были возвращены хакером-белоручкой.

Частота взломов смарт-контрактов на токен-мостах подтверждает предупреждение Виталика Бутерина от 7 января о том, что существуют «фундаментальные ограничения безопасности мостов». Предупреждение соучредителя Ethereum было сделано в контексте 51% атаки на Ethereum, но его совет был своевременным, поскольку он указал на общую уязвимость, очевидную для мостов, которые пересылают токены через блокчейн первого уровня.