Сегодня на мосту токенов Wormhole была обнаружена уязвимость, в результате которой с платформы было утеряно 120 000 токенов wETH (321 миллион долларов).
Wormhole — это токен-мост, который позволяет пользователям отправлять и получать криптовалюту между Ethereum, Solana, BSC, Polygon, Avalanche, Oasis и Terra без использования централизованного обмена (CEX). Это крупнейший взлом криптовалюты в 2022 году и второй по величине взлом DeFi на сегодняшний день. Команда Wormhole предложила вознаграждение в размере 10 миллионов долларов за возврат средств.
Взлом произошел на стороне моста со стороны Соланы, и есть опасения, что мост Червоточины на Терру может быть так же уязвим.
Команда Wormhole заверила сообщество, что запас ETH будет пополнен, чтобы «обеспечить поддержку wETH 1:1», но пока нет информации о том, откуда и когда поступят эти средства.
Сеть червоточин была использована для 120 000 wETH. ETH будет добавлен в течение следующих часов, чтобы обеспечить поддержку wETH 1:1. Более подробная информация появится в ближайшее время. Мы работаем над тем, чтобы быстро восстановить сеть. Спасибо за ваше терпение.— Червоточина (@wormholecrypto) 2 февраля 2022 г.
Взлом произошел в 18:24 UTC 2 февраля. Злоумышленник выдал 120 000 wETH (WETH) на Солане, а затем в 18:28 UTC обменял 93 750 WETH на ETH на сумму 254 миллиона долларов в сети Ethereum. С тех пор хакер использовал некоторые средства для покупки SportX (SX), Meta Capital (MCAP), наконец полезной криптовалюты Karma (FUCK) и токена яхт-клуба Bored Ape (APE).
Оставшийся WETH был обменен на SOL и USDC на Солане. В кошельке хакера Solana в настоящее время хранится 432 662 SOL (44 миллиона долларов).
Сообщается, что никакие другие активы или цепочки, обслуживаемые Wormhole, не пострадали, но компания Certik, занимающаяся аудитом смарт-контрактов, заявила в сегодняшнем отчете, что «Возможно, что мост Wormhole к блокчейну Terra имеет ту же уязвимость, что и их мост Solana».
Команда Wormhole связалась с хакером через свой адрес Ethereum, чтобы предложить хакеру сохранить украденные средства на сумму 10 миллионов долларов, если оставшиеся средства будут возвращены.
«Это Wormhole Deployer: мы заметили, что вы смогли использовать проверку Solana VAA и чеканить токены. Мы хотели бы предложить вам белое соглашение и предоставить вам вознаграждение в размере 10 миллионов долларов за детали эксплойта и возврат wETH, который вы выпустили. Вы можете связаться с нами по адресу contact@certus.one».
На момент написания статьи токены wETH, отправленные через мост, еще нельзя было обменять, пока команда Wormhole пытается исправить эксплойт.
Это второй эксплойт смарт-контракта на токен-мосте за неделю.28 января QBridge от Qubit Finance был использован на BSC за 80 миллионов долларов. Это также напоминает взлом Poly Network в августе прошлого года, когда с платформы было украдено 610 миллионов долларов в криптовалюте. В этом случае почти все средства были возвращены белым хакером.
По теме: 2,5 миллиарда долларов в украденных BTC после взлома Bitfinex пробуждаются
Частота взломов смарт-контрактов на токен-мостах служит подтверждением предупреждения Виталика Бутерина от 7 января о том, что существуют «фундаментальные ограничения безопасности мостов». Предостережение соучредителя Ethereum было в контексте атаки 51% на Ethereum, но его совет был своевременным, поскольку он указал на общую уязвимость, очевидную для мостов, которые отправляют токены через блокчейны уровня 1.
