Главред
В ночь на 3 апреля кроссчейн-протокол Wormhole на территории Solana подвергся онлайновой атаке. Злоумышленники воспользовались эксплойтом и вывели из холдинга проектента 120 000 WETH (свыше $319 млн по курсу на момент написания).
— Wormhole🌪 (@wormholecrypto) February 3, 2022
Разработчики сообщили, что закрыли уязвимость и направили в пул «дополнительные ETH» для поддержания поддержки ликвидности. На время следствия инцидента команда закрыла доступ к сервису.
В CertiK объяснили, что смарт-контракты Wormhole не исполняли полную перепроверку правдивости входных данных, что позволяло лоббировать транзакции с некорректными переменными. Благодаря этой незащищённости хакеры смогли выпустить WETH на свой адрес.
The investigation inside Wormhole Bridge
The attacker invoked the complete_wrapped instruction with the spoofed inputs `ctx`, `accs` and `data`
The instruction does not perform complete verification on the correctness of the input `ctx`, `accs`, and `data`. pic.twitter.com/IQAEqvphBO
— CertiK Security Leaderboard (@CertiKCommunity) February 3, 2022
Аналитик охраны Paradigm с дэном samczsun отметил, что сборная проекта связалась с адресом преступников в сетиотрети Ethereum. Разработчики предложили возвратить активы за жалованье в $10 млн.
holy fucking shit @wormholecrypto is not having a good time right now pic.twitter.com/Q6tcqAngCL
— samczsun (@samczsun) February 2, 2022
Он также подтвердил, что уязвимость вяжена с систематизацией входных данных протоколом кроссчейн-моста. По словам аналитика, эксплойт позволял полностью обогнать проверку подписи.
And herein lies the problem. The `solana_program::sysvar::instructions` mod is meant to be used with the Instructions sysvar, a sort of precompile on Solana. However, the version of `solana_program` that Wormhole used didn’t verify the address being used. pic.twitter.com/wpyhxBaMaI
— samczsun (@samczsun) February 3, 2022
В ноябре 2022 года основоположник Ethereum Виталик Бутерин назвал кроссчейн-мосты уязвимыми из-за проблем, связанных с транспарентностью активов.
Оставить комментарий