Сегодня на токен-мосте червоточины была обнаружена уязвимость, в результате чего с платформы было утеряно 120 000 токенов wETH (321 миллион долларов).

Wormhole — это токен-мост, который позволяет пользователям отправлять и получать криптовалюту между Ethereum, Solana, BSC, Polygon, Avalanche, Oasis и Terra без использования централизованного обмена (Cex). На данный момент это крупнейший взлом криптовалюты в 2022 году и второй по величине взлом DeFi на сегодняшний день. Команда Wormhole предложила вознаграждение в размере 10 миллионов долларов за возврат средств.

Взлом произошел на стороне моста со стороны Соланы, и есть опасения, что мост через Червоточину на Терру может быть так же уязвим.

Команда Wormhole заверила сообщество, что запас ETH будет пополнен, чтобы «обеспечить поддержку wETH 1:1», но пока нет информации о том, откуда и когда поступят эти средства.

Сеть червоточин была использована для 120 000 wETH.

ETH будет добавлен в течение следующих часов, чтобы обеспечить поддержку wETH 1:1. Более подробная информация появится в ближайшее время.

Мы работаем над тем, чтобы быстро восстановить сеть. Спасибо за терпеливость.

— Червоточина (@wormholecrypto) 2 февраля 2022 г.

Взлом произошел в 18:24 UTC 2 февраля. Злоумышленник выдал 120 000 wETH (WETH) на Солане, а затем в 18:28 UTC обменял 93 750 WETH на ETH на сумму 254 миллиона долларов в сети Ethereum. С тех пор хакер использовал некоторые средства для покупки SportX (SX), Meta Capital (MCAP), наконец-то годной к употреблению Crypto Karma (FUCK) и токена яхт-клуба Bored Ape (APE).

Оставшийся WETH был обменен на SOL и USDC на Солане. В кошельке хакера Solana в настоящее время хранится 432 662 SOL (44 миллиона долларов).

Сообщается, что никакие другие активы или цепочки, обслуживаемые Wormhole, не пострадали, но компания Certik, занимающаяся аудитом смарт-контрактов, заявила в сегодняшнем отчете, что «Возможно, что мост Wormhole к блокчейну Terra имеет ту же уязвимость, что и их мост Solana».

Команда Wormhole связалась с хакером через свой адрес Ethereum, чтобы предложить хакеру сохранить украденные средства на сумму 10 миллионов долларов, если оставшиеся средства будут возвращены.

«Это Wormhole Deployer: мы заметили, что вы смогли использовать проверку Solana VAA и чеканить токены. Мы хотели бы предложить вам белое соглашение и предоставить вам вознаграждение в размере 10 миллионов долларов за обнаружение ошибок и возврат wETH. вы отчеканили. Вы можете связаться с нами по адресу contact@certus.one"

На момент написания статьи токены wETH, отправленные через мост, еще нельзя было обменять, пока команда Wormhole пытается исправить эксплойт.

Это второй эксплойт смарт-контракта на токен-мосте за неделю. 28 января QBridge от Qubit Finance был использован на BSC за 80 миллионов долларов. Это также напоминает взлом Poly Network в августе прошлого года, когда с платформы было украдено 610 миллионов долларов в криптовалюте. В этом случае почти все средства были возвращены белым хакером.

Частота взломов смарт-контрактов на токен-мостах служит подтверждением предупреждения Виталика Бутерина от 7 января о том, что существуют «фундаментальные ограничения безопасности мостов». Предостережение соучредителя Ethereum было в контексте атаки 51% на Ethereum, но его совет был своевременным, поскольку он указал на общую уязвимость, очевидную для мостов, которые отправляют токены через блокчейны уровня 1.

Источник