Este é um dos maiores ataques a uma plataforma financeira descentralizada (DeFi). O protocolo Wormhole viu ontem desaparecer 320 milhões de dólares em WrappedEther (wETH). Um olhar sobre o que sabemos até agora.
A plataforma de buraco de minhoca sofre um ataque de $320 milhões
Como lembrete, Wormhole é um protocolo de interoperabilidade em cadeia de bloqueio. Permite em particular criar pontes entre Ethereum e Solana. Para tal, o protocolo utiliza “Éter Embrulhado”, fichas representando Éteres (ETH) compatíveis com Solana.
São estas fichas que têm sido alvo. O ataque foi anunciado ontem por uma comunicação das equipas do projecto:
‼️ A rede de wormhole está em baixo para manutenção enquanto analisamos uma potencial exploração.
Forneceremos aqui actualizações assim que as tivermos.
Obrigado pela sua paciência.
– Wormhole (@wormholecrypto) 2 de Fevereiro de 2022
Anunciaram que a vulnerabilidade tinha sido corrigida algumas horas mais tarde, mas os danos foram feitos. 320 milhões de dólares em APOIO AO Roubo. O protocolo foi temporariamente suspenso, e Wormhole confirmou que os ETHs seriam novamente adicionados para que os ETHs fossem apoiados na proporção 1:1.
Uma recompensa por expor a vulnerabilidade
Wormhole enviou uma mensagem ao atacante, oferecendo um acordo:
“Notámos que foi capaz de explorar o processo de verificação Solana e produzir fichas. Gostaríamos de lhe oferecer um acordo de whitehat, e uma recompensa de 10 milhões de dólares por encontrar este bug, se devolver o wETH. “
O atacante fez uso do processo de produção de Wormhole’s wETH. Os utilizadores podem de facto trancar o seu ETH num contrato inteligente, e receber em troca “Éter Embrulhado” compatível com Solana. Parece que ele conseguiu produzir estas ETH sem primeiro bloquear ETH, manipulando o mecanismo de validação.
Este é um dos maiores ataques no sector financeiro descentralizado até à data. É apenas o segundo lugar do hack da Poly Network em Agosto passado, o que permitiu ao atacante sair com 600 milhões de dólares em moedas criptográficas. Estes foram depois devolvidos ao protocolo. Por enquanto, contudo, o atacante Wormhole não indicou que deseja aceitar a oferta.
