Хакеры воспользовались уязвимостью в смарт-контрактах моста Wormhole в сети Solana. Им удалось вывести 120 000 wETH, что по текущему курсу составляет $320 百万.
Wormhole поддерживает сети Эфириума, Solana, Binance Smart Chain, Polygon, Avalanche, Oasis и Terra и позволяет быстро и просто переносить активы с одного блокчейна на другой. Хакеры смогли воспользоваться уязвимостью в платформе со стороны Solana и вывести токены wETH на сумму $320 百万. Сейчас активы распределены между кошельками злоумышленников в сетях Эфириума и Solana.
Взлом произошел вчера, 2 февраля, V 21:24 по МСК. Хакеры выпустили 120 000 wETH в сети Solana. Затем 93 750 wETH были использованы для обмена на аналогичное количество ETH в сети Эфириума. Еще часть wETH была направлена на покупку токенов SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) и Bored Ape Yacht Club Token (APE). Оставшиеся wETH в сети Solana хакеры обменяли на монеты SOL и стейблкоины USDC.
Активы в других сетях, поддерживаемых Wormhole, затронуты не были. Однако, по данным компании Certik, занимающейся аудитом смарт-контрактов, аналогичная уязвимость может быть в мосте Wormhole в сети Terra. Команда платформы связалась с хакером через транзакцию в сети Эфириума и предложила оставить себе активы на $10 млн за обнаружение уязвимости, а остальные токены и монеты вернуть:
«Это разработчики Wormhole. Мы увидели, что вы смогли использовать уязвимость в процессе верификации Solana VAA и выпустить токены. Мы бы хотели вам предложить соглашение для “Белых хакеров” – вы получите награду за обнаружение уязвимости в $10 млн после возвращения выпущенных wETH».
Разработчики Wormhole подчеркнули, что уязвимость будет закрыта в ближайшее время, а затем в сеть будет добавлено необходимое количество ETH, чтобы обеспечение токенов wETH вернулось к пропорции 1:1. Специалистами по компьютерной безопасности представлен подробный анализ произошедшего взлома, с погружением в код смарт-контрактов, использовавшихся для кражи активов.
По данным компании Elliptic, взлом Wormhole стал четвертым крупнейшим взломом за всю историю криптовалютной индустрии. В середине января хакеры смогли вывести более $2 млн из протокола Multichain, причем под угрозой были активы на сумму более $1 十亿.