Crypto Bridge-wormgat aangevuld na hack voor $ 320 miljoen in Ethereum
Wormhole, een populaire cross-chain crypto-brug tussen Solana, Ethereum, Avalanche en anderen, heeft zijn ontbrekende fondsen hersteld nadat een hacker gisteren erin slaagde $ 320 miljoen in Wrapped Ethereum (wETH) uit het protocol te hevelen.
wETH in Wormhole is een cryptocurrency gekoppeld aan de prijs van Ethereum, maar interoperabel met andere netwerken. Om wETH te creëren, moeten gebruikers eerst Ethereum inzetten.
Het Wormhole-team heeft vandaag op Twitter aangekondigd dat "Alle fondsen zijn hersteld en Wormhole is weer up-to-date." In een vervolgtweet zeiden ze dat ze de kwetsbaarheid kort na middernacht UTC hadden opgelost en dat "alles met 1:1 een back-up maakte" vanaf 13:08 UTC.
Het team werkt aan een gedetailleerd incidentrapport en zal dit zo snel mogelijk delen
18:26 UTC - contract werd uitgebuit voor 120k ETH
00:33 UTC - kwetsbaarheid is verholpen
13:08 UTC - ETH-contract is ingevuld en alles wordt ondersteund 1: 1
13:29 UTC - de Portal (token bridge) is weer beschikbaar
— Wormhole🌪 (@wormholecrypto) 3 februari 2022
Blockchain-analysesite Elliptic concludeerde dat de exploit te wijten was aan het niet valideren van "guardian"-accounts door Wormhole, waardoor de aanvaller 120.000 wETH kon minen zonder ETH-ondersteuning.
De hacker ruilde vervolgens 93.750 wETH voor Ethereum en veranderde de rest voor Solana, die ze ongemoeid lieten in hun Solana-portemonnee.
Wie heeft de fondsen hersteld?
Na de hack van woensdag stuurde Wormhole een bericht naar de aanvaller op de Ethereum-blockchain.
Er stond: "Dit is de Wormhole Deployer: we hebben gemerkt dat je de Solana VAA-verificatie en munttokens kon exploiteren. We willen je graag een whitehat-overeenkomst aanbieden en je een bugbounty van $ 10 miljoen aanbieden voor exploitdetails , en het teruggeven van het geld dat je hebt geslagen."
Een half uur later tweette het team dat Wormhole "niet beschikbaar was voor onderhoud terwijl we een mogelijke exploit onderzoeken".
‼️ Het wormgatnetwerk is niet beschikbaar voor onderhoud terwijl we een mogelijke exploit onderzoeken.
📢 We zullen hier updates geven zodra we ze hebben.
🙏 Bedankt voor je geduld.
— Wormhole🌪 (@wormholecrypto) 2 februari 2022
Wormhole bracht vervolgens het nieuws over de exploit op Twitter en voegde eraan toe: "ETH zal in de komende uren worden toegevoegd om ervoor te zorgen dat wETH 1:1 wordt ondersteund. Meer details volgen binnenkort."
Het wormgatnetwerk werd voor 120k wETH uitgebuit.
ETH wordt de komende uren toegevoegd om ervoor te zorgen dat wETH 1:1 wordt ondersteund. Meer details volgen binnenkort.
We werken eraan om het netwerk snel weer up-to-date te krijgen. Bedankt voor je geduld.
— Wormhole🌪 (@wormholecrypto) 2 februari 2022
Cross-chain aanvallen
Aanvallen op cross-chain bridges nemen toe naarmate meer blockchains populair worden. Vorige week werd een cross-chain bridge in het DeFi-protocol Qubit gehackt voor $ 80 miljoen.
De week daarvoor werd 3 miljoen dollar opgebruikt door meerdere hackers die het multichain-routerprotocol Multichain aanvielen. Een whitehat-hacker heeft er later $ 900.000 van teruggegeven, maar de rest is nog steeds vermist.
Het is duidelijk dat cross-chain-kwetsbaarheden moeten worden aangepakt als dit geen wekelijkse gebeurtenis wordt.
wETH in Wormhole is een cryptocurrency gekoppeld aan de prijs van Ethereum, maar interoperabel met andere netwerken. Om wETH te creëren, moeten gebruikers eerst Ethereum inzetten.
Het Wormhole-team heeft vandaag op Twitter aangekondigd dat "Alle fondsen zijn hersteld en Wormhole is weer up-to-date." In een vervolgtweet zeiden ze dat ze de kwetsbaarheid kort na middernacht UTC hadden opgelost en dat "alles met 1:1 een back-up maakte" vanaf 13:08 UTC.
Het team werkt aan een gedetailleerd incidentrapport en zal dit zo snel mogelijk delen
18:26 UTC - contract werd uitgebuit voor 120k ETH
00:33 UTC - kwetsbaarheid is verholpen
13:08 UTC - ETH-contract is ingevuld en alles wordt ondersteund 1: 1
13:29 UTC - de Portal (token bridge) is weer beschikbaar
— Wormhole🌪 (@wormholecrypto) 3 februari 2022
Blockchain-analysesite Elliptic concludeerde dat de exploit te wijten was aan het niet valideren van "guardian"-accounts door Wormhole, waardoor de aanvaller 120.000 wETH kon minen zonder ETH-ondersteuning.
De hacker ruilde vervolgens 93.750 wETH voor Ethereum en veranderde de rest voor Solana, die ze ongemoeid lieten in hun Solana-portemonnee.
Wie heeft de fondsen hersteld?
Na de hack van woensdag stuurde Wormhole een bericht naar de aanvaller op de Ethereum-blockchain.
Er stond: "Dit is de Wormhole Deployer: we hebben gemerkt dat je de Solana VAA-verificatie en munttokens kon exploiteren. We willen je graag een whitehat-overeenkomst aanbieden en je een bugbounty van $ 10 miljoen aanbieden voor exploitdetails , en het teruggeven van het geld dat je hebt geslagen."
Een half uur later tweette het team dat Wormhole "niet beschikbaar was voor onderhoud terwijl we een mogelijke exploit onderzoeken".
‼️ Het wormgatnetwerk is niet beschikbaar voor onderhoud terwijl we een mogelijke exploit onderzoeken.
📢 We zullen hier updates geven zodra we ze hebben.
🙏 Bedankt voor je geduld.
— Wormhole🌪 (@wormholecrypto) 2 februari 2022
Wormhole bracht vervolgens het nieuws over de exploit op Twitter en voegde eraan toe: "ETH zal in de komende uren worden toegevoegd om ervoor te zorgen dat wETH 1:1 wordt ondersteund. Meer details volgen binnenkort."
Het wormgatnetwerk werd voor 120k wETH uitgebuit.
ETH wordt de komende uren toegevoegd om ervoor te zorgen dat wETH 1:1 wordt ondersteund. Meer details volgen binnenkort.
We werken eraan om het netwerk snel weer up-to-date te krijgen. Bedankt voor je geduld.
— Wormhole🌪 (@wormholecrypto) 2 februari 2022
Cross-chain aanvallen
Aanvallen op cross-chain bridges nemen toe naarmate meer blockchains populair worden. Vorige week werd een cross-chain bridge in het DeFi-protocol Qubit gehackt voor $ 80 miljoen.
De week daarvoor werd 3 miljoen dollar opgebruikt door meerdere hackers die het multichain-routerprotocol Multichain aanvielen. Een whitehat-hacker heeft er later $ 900.000 van teruggegeven, maar de rest is nog steeds vermist.
Het is duidelijk dat cross-chain-kwetsbaarheden moeten worden aangepakt als dit geen wekelijkse gebeurtenis wordt.