Die Wormhole-Token-Bridge erlebte heute einen Sicherheits-Exploit, der zum Verlust von 120.000 wETH-Token (321 Millionen US-Dollar) von der Plattform führte.
Wormhole ist eine Token-Bridge, die es Benutzern ermöglicht, Krypto zwischen Ethereum, Solana, BSC, Polygon, Avalanche, Oasis und Terra zu senden und zu empfangen, ohne eine zentralisierte Börse (CEX) zu verwenden. Dies ist der bisher größte Krypto-Hack des Jahres 2022 und der bisher zweitgrößte DeFi-Hack. Das Wormhole-Team hat ein Bug-Bounty in Höhe von 10 Millionen Dollar für die Rückgabe der Gelder ausgesetzt.
Unsere Top Trading Bots
Der Hack fand auf der Solana-Seite der Brücke statt und es gibt Befürchtungen, dass die Brücke von Wormhole nach Terra ähnlich anfällig sein könnte.
Das Wormhole-Team hat der Community versichert, dass sein ETH-Vorrat aufgefüllt wird, um „sicherzustellen, dass wETH 1:1 unterstützt wird“, aber es gibt noch kein Wort darüber, woher und wann diese Mittel kommen werden.
Der Hack fand am 2. Februar um 18:24 Uhr UTC statt. Der Angreifer prägte 120.000 wETH (WETH) auf Solana und löste dann um 18:28 Uhr UTC 93.750 WETH für ETH im Wert von 254 Millionen US-Dollar im Ethereum-Netzwerk ein. Der Hacker hat seitdem einige Mittel verwendet, um SportX (SX), Meta Capital (MCAP), Final Usable Crypto Karma (FUCK) und Bored Ape Yacht Club Token (APE) zu kaufen.
Das verbleibende WETH wurde auf Solana gegen SOL und USDC getauscht. Die Solana-Brieftasche des Hackers enthält derzeit 432.662 SOL (44 Millionen US-Dollar).
Es wurden keine anderen von Wormhole bedienten Vermögenswerte oder Ketten als betroffen gemeldet, aber die Smart-Contract-Prüfungsfirma Certik sagte heute in einem Bericht, dass „es möglich ist, dass die Brücke von Wormhole zur Terra-Blockchain dieselbe Schwachstelle aufweist wie ihre Solana-Brücke“.
Das Wormhole-Team kontaktierte den Hacker über seine Ethereum-Adresse, um ihm anzubieten, gestohlene Gelder im Wert von 10 Millionen Dollar zu behalten, wenn die verbleibenden Gelder zurückgegeben werden.
„Dies ist der Wormhole Deployer: Wir haben festgestellt, dass Sie die VAA-Verifizierungs- und Mint-Tokens von Solana ausnutzen konnten. Wir möchten Ihnen eine Whitehat-Vereinbarung anbieten und Ihnen eine Bug-Prämie von 10 Millionen US-Dollar für Exploit-Details und die Rückgabe des von Ihnen geprägten wETH präsentieren. Sie erreichen uns unter contact@certus.one“
Zum Zeitpunkt des Verfassens dieses Artikels können wETH-Token, die über die Brücke gesendet werden, noch nicht eingelöst werden, während das Wormhole-Team versucht, den Exploit zu beheben.
Dies ist der zweite Smart-Contract-Exploit auf einer Token-Bridge innerhalb einer Woche. Am 28. Januar wurde QBridge von Qubit Finance für 80 Millionen US-Dollar auf BSC ausgenutzt. Es erinnert auch an den Poly Network-Hack im vergangenen August, bei dem Krypto im Wert von 610 Millionen US-Dollar von der Plattform gestohlen wurde. In diesem Fall wurden fast alle Gelder vom Whitehat-Hacker zurückgegeben.
Verbunden:Gestohlene BTC im Wert von 2,5 Mrd. USD aus dem Bitfinex-Hack erwacht
Die Häufigkeit von Smart-Contract-Hacks auf Token-Bridges dient dazu, Vitalik Buterins Warnung vom 7. Januar zu bestätigen, dass es „grundlegende Sicherheitsgrenzen von Bridges“ gibt. Die Ermahnung des Ethereum-Mitbegründers stand im Zusammenhang mit einem 51-Prozent-Angriff auf Ethereum, aber sein Rat war zeitlich gut abgestimmt, da er auf die allgemeine Schwachstelle hinwies, die auf Brücken offensichtlich ist, die Token über Layer-1-Blockchains senden.
Lesen Sie weiter auf Cointelegraph