Токен-мост между Ethereum и Solana привел к выведению 120 000 токенов wETH с платформы и их распределению между хакерскими кошельками Solana и ETH.
Сегодня на Wormhole была обнаружена уязвимость, в результате чего с платформы было утеряно 120 000 токенов wETH (321 миллион долларов).
Wormhole — это токен-мост, который позволяет пользователям отправлять и получать криптовалюту между Ethereum, Solana, BSC, Polygon, Avalanche, Oasis и Terra без использования централизованного обмена (CEX). На данный момент это крупнейший взлом криптовалюты в 2022 году и второй по величине взлом DeFi на сегодняшний день. Команда Wormhole предложила вознаграждение в размере 10 миллионов долларов за возврат средств.
Взлом произошел со стороны моста Solana, и есть опасения, что мост Wormhole на Terra может быть таким же уязвимым.
Команда Wormhole заверила сообщество, что запас ETH будет пополнен, чтобы «обеспечить поддержку wETH 1:1», но пока нет информации о том, откуда и когда поступят эти средства.
Взлом произошел вечером 2 февраля. Злоумышленник выдал 120 000 wETH (WETH) на Solana, а затем в 18:28 обменял 93 750 WETH на ETH на сумму 254 миллиона долларов в сети Ethereum. С тех пор хакер использовал средства для покупки SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) и Bored Ape Yacht Club Tokene (APE).
Оставшиеся WETH были обменены на SOL и USDC на Solana. В кошельке хакера Solana в настоящее время хранится 432 662 SOL (44 миллиона долларов).
Сообщается, что никакие другие активы или цепочки, обслуживаемые Wormhole, не пострадали, но компания Certik, занимающаяся аудитом смарт-контрактов, заявила в сегодняшнем отчете, что «возможно, что мост Wormhole к блокчейну Terra имеет ту же уязвимость, что и их мост Solana».
Команда Wormhole связалась с хакером через свой адрес Ethereum, чтобы предложить хакеру сохранить украденные средства на сумму 10 миллионов долларов, если оставшиеся средства будут возвращены.
«Это Wormhole Deployer: мы заметили, что вы смогли взломать Solana VAA. Мы хотели бы предложить вам соглашение “белого хакера” и предоставить вам вознаграждение в размере 10 миллионов долларов США за детали эксплойта и возврат wETH, который вы создали. Вы можете связаться с нами по адресу contact@certus.one».
На момент написания статьи токены wETH, отправленные через мост, еще нельзя было обменять, пока команда Wormhole пытается исправить эксплойт.
Это второй эксплойт смарт-контракта на токен-мосту за неделю. 28 января QBridge от Qubit Finance был использован на BSC за 80 миллионов долларов. Это также напоминает взлом Poly Network в августе прошлого года, когда с платформы было украдено 610 миллионов долларов в криптовалюте. В этом случае почти все средства были возвращены белым хакером.
Частота взломов смарт-контрактов на токен-мостах служит подтверждением предупреждения Виталика Бутерина от 7 января о том, что существуют «фундаментальные ограничения безопасности мостов».
Предостережение соучредителя Ethereum было в контексте атаки 51% на Ethereum, но его совет был своевременным, поскольку он указал на общую уязвимость, очевидную для мостов, которые отправляют токены через блокчейны уровня 1.
