Se trata de uno de los mayores ataques a una plataforma financiera descentralizada (DeFi). El protocolo Wormhole vio desaparecer ayer 320 millones de dólares en WrappedEther (wETH). Un vistazo a lo que sabemos hasta ahora.
La plataforma de agujeros de gusano sufre un ataque de 320 millones de dólares
Como recordatorio, Wormhole es un protocolo de interoperabilidad de blockchain. En particular, permite crear puentes entre Ethereum y Solana. Para ello, el protocolo utiliza «Wrapped Ether», tokens que representan Ethers (ETH) compatibles con Solana.
Son estas fichas las que han sido objeto de un ataque. El ataque fue anunciado ayer mediante un comunicado de los equipos del proyecto:
‼️ La red de agujeros de gusano está fuera de servicio por mantenimiento mientras investigamos un posible exploit.
Proporcionaremos actualizaciones aquí tan pronto como las tengamos.
Gracias por su paciencia.
– Wormhole (@wormholecrypto) February 2, 2022
Anunciaron que la vulnerabilidad había sido corregida unas horas después, pero el daño estaba hecho. Se robaron 320 millones de dólares en wETH. El protocolo se detuvo temporalmente, y Wormhole confirmó que se añadirían de nuevo ETHs para que los wETHs estuvieran respaldados en la proporción 1:1.
Una recompensa por exponer la vulnerabilidad
El agujero de gusano envió un mensaje al atacante, ofreciendo un trato:
«Nos hemos dado cuenta de que has sido capaz de explotar el proceso de verificación de Solana y producir tokens. Nos gustaría ofrecerte un trato de sombrero blanco, y una recompensa de 10 millones de dólares por encontrar este bug, si nos devuelves el wETH. «
El atacante hizo uso del proceso de producción de wETH de Wormhole. Los usuarios pueden, de hecho, bloquear su ETH en un contrato inteligente, y recibir a cambio «Wrapped Ether» compatible con Solana. Al parecer, ha conseguido producir estos wETH sin bloquear primero el ETH, manipulando el mecanismo de validación.
Se trata de uno de los mayores ataques en el sector de las finanzas descentralizadas hasta la fecha. Sólo es superado por el hackeo de Poly Network el pasado mes de agosto, que permitió al atacante hacerse con 600 millones de dólares en criptodivisas. Estos fueron devueltos al protocolo. Por ahora, sin embargo, el atacante de Wormhole no ha indicado que desee aceptar la oferta.
