De Wormhole-tokenbrug heeft vandaag een beveiligingsexploit ondergaan, resulterend in het verlies van 120.000 wETH-tokens ($ 321 miljoen) van het platform.
Wormhole is een token bridge waarmee gebruikers crypto kunnen verzenden en ontvangen tussen Ethereum, Solana, BSC, Polygon, Avalanche, Oasis en Terra zonder het gebruik van een gecentraliseerde uitwisseling (CEX). Dit is de grootste crypto-hack van 2022 tot nu toe en de op één na grootste DeFi-hack tot nu toe. Het Wormhole-team heeft een bugbounty van $ 10 miljoen aangeboden voor de teruggave van het geld.
Onze beste handelsrobots
De hack vond plaats aan de Solana-kant van de brug en men vreest dat de brug van Wormhole naar Terra even kwetsbaar zou kunnen zijn.
Het Wormhole-team heeft de gemeenschap verzekerd dat de ETH-voorraad zal worden aangevuld om "ervoor te zorgen dat wETH 1:1 wordt ondersteund", maar er is nog geen woord over waar die fondsen vandaan zullen komen en wanneer.
De hack vond plaats op 2 februari om 18:24 uur UTC. De aanvaller sloeg 120.000 wETH (WETH) op Solana en verzilverde vervolgens 93.750 WETH voor ETH ter waarde van $ 254 miljoen op het Ethereum-netwerk om 18:28 uur UTC. De hacker heeft sindsdien wat geld gebruikt om SportX (SX), Meta Capital (MCAP), Final Usable Crypto Karma (FUCK) en Bored Ape Yacht Club Token (APE) te kopen.
De resterende WETH werd geruild voor SOL en USDC op Solana. De Solana-portemonnee van de hacker bevat momenteel 432.662 SOL ($ 44 miljoen).
Er zijn geen andere activa of ketens die door Wormhole worden bediend, gemeld, maar het slimme contractauditbureau Certik zei vandaag in een rapport: "Het is mogelijk dat de brug van Wormhole naar de Terra-blockchain dezelfde kwetsbaarheid deelt als hun Solana-brug."
Het Wormhole-team nam contact op met de hacker via hun Ethereum-adres om aan te bieden dat de hacker $ 10 miljoen aan gestolen geld mocht houden als het resterende geld wordt teruggegeven.
"Dit is de Wormhole Deployer: we hebben gemerkt dat je de Solana VAA-verificatie en munttokens kon gebruiken. We willen je graag een whitehat-overeenkomst aanbieden en je een bug bounty van $10 miljoen aanbieden voor details over exploits, en het geld teruggeven dat je hebt geslagen. U kunt contact met ons opnemen via contact@certus.one”
Op het moment van schrijven zijn WETH-tokens die over de brug zijn verzonden nog niet inwisselbaar terwijl het Wormhole-team probeert de exploit te repareren.
Dit is de tweede smart contract-exploit op een token bridge in een week. Op 28 januari werd QBridge van Qubit Finance uitgebuit voor $ 80 miljoen op BSC. Het doet ook denken aan de Poly Network-hack van afgelopen augustus waarbij $ 610 miljoen aan crypto van het platform werd gestolen. In dat geval werd bijna al het geld teruggegeven door de whitehat-hacker.
Verwant:$ 2,5 miljard aan gestolen BTC van Bitfinex-hack ontwaakt
De frequentie van slimme contracthacks op tokenbridges dient om de waarschuwing van Vitalik Buterin op 7 januari te valideren dat er "fundamentele beveiligingslimieten van bruggen" zijn. De vermaning van de mede-oprichter van Ethereum was in de context van een 51% aanval op Ethereum, maar zijn advies was goed getimed, aangezien hij wees op de algemene kwetsbaarheid die zichtbaar is op bruggen die tokens over laag-1 blockchains sturen.
Blijf lezen over CoinTelegraph
