Злоумышленники воспользовались уязвимостью в популярном мосте Wormhole, который работает между сетями Solana и Ethereum, и украли в общей сложности более 120000 wETH (Wrapped ETH) на 326 миллионов долларов. Это крупнейший взлом в 2022 году и второй по величине взлом DeFi в истории.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
Мост — это инструмент, который передает нативные криптовалюты между Ethereum, Solana, BSC, Polygon, Avalanche, Oasis и Terra без использования централизованной биржи.
Взлом произошел на стороне моста со стороны Solana, но эксперты опасаются, что мост к Terra может тоже иметь уязвимость. Хакеры обманули серию смарт-контрактов Solana, чтобы поставить цифровую подпись на незаконные транзакции.
«Злоумышленник мог фактически солгать о том, что программа проверки подписи была запущена. Подписи вообще не проверялись», — объяснил разработчик Ethereum Кельвин Фихтер.
Проверка подписи — это автоматический шаг, используемый Wormhole для проверки транзакций между сетями.
Взлом вызвал тревогу в кругах DeFi, потому что это означает, что монеты ETH, которые были задействованы в Solana, могут не иметь резервов. Пока неясно, каковы будут последствия для кредитных рынков Solana и других протоколов, если «обернутые ETH», выпущенные на Wormhole, потеряют ценность.
Основатель платформы Step Finance на Solana Джордж Харрап сказал, что должна вмешаться компания Jump Capital, которая купила разработчика Wormhole, и предоставить необходимые резервы. В противном случае ряд платформ на базе Solana станут частично неплатежеспособными.
«Если никто не поддерживает токен и монеты действительно исчезли, тогда Wormhole ETH стоит $0, и все, у кого есть эти токены, потеряют деньги — протоколы DeFi, пользователи, все», — сказал он.
Разработчики Wormhole пообещали, что средства для поддержки «обернутых ETH» будут добавлены, но не сказали, кто их предоставит. Они также предложили хакерам вознаграждение в размере 10 миллионов долларов за добровольный возврат средств.
Но хакеры явно не собираются ничего возвращать. На момент написания они обменяли 93750 wETH на ETH на сумму $254 млн. Затем использовали некоторые средства для покупки SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) и Bored Ape Yacht Club Token (APE). Оставшиеся wETH были обменен на SOL и USDC. В кошельке хакера Solana в настоящее время хранится 432662 SOL ($44 млн).
Уязвимость вызвала недовольство среди отраслевых обозревателей.
«Этот мост, который всего несколько месяцев назад Solana рекламировала как «безопасный и надежный», только что был взломан», — написал Эван Ван Несс, основатель криптофонда Starbloom Ventures.
Адам Кокран, основатель другого криптофонда Cinneamhain Ventures считает, что при выводе больших сум средств, блокчейн-мосты должны иметь встроенные механизмы безопасности.
«Похоже, у мостов должен быть какой-то второй контракт, который действует как холодное хранилище с блокировкой по времени, — написал он в Твиттере. — Установите лимит на максимальное количество оттока и создайте руководство, голосующее за замораживание».
Это второй эксплойт мостового смарт-контракта за неделю. 28 января QBridge от Qubit Finance тоже был взломан и лишился $80 млн. Частота взломов мостов служит подтверждением предупреждения Виталика Бутерина о том, что в них существуют «фундаментальные ограничения безопасности». Его предостережение было в контексте «атаки 51%» на Ethereum, но оно также указывает на общую уязвимость мостов.
My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty". From https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
— vitalik.eth (@VitalikButerin) January 7, 2022