Mo.bi - Crypto Currency Tracker logo Mo.bi - Crypto Currency Tracker logo
Forklog 2022-02-03 06:53:00

Хакеры вывели из пула кроссчейн-моста Wormhole более $319 млн

В ночь на 3 февраля кроссчейн-протокол Wormhole на базе Solana подвергся хакерской атаке. Злоумышленники воспользовались эксплойтом и вывели из пула проекта 120 000 WETH (свыше $319 млн по курсу на момент написания). https://t.co/TqkVwHqo9c— Wormhole🌪 (@wormholecrypto) February 3, 2022 Разработчики сообщили, что закрыли уязвимость и направили в пул «дополнительные ETH» для обеспечения поддержки ликвидности. На время расследования инцидента команда закрыла доступ к сервису. В CertiK объяснили, что смарт-контракты Wormhole не выполняли полную проверку правильности входных данных, что позволяло инициировать транзакции с некорректными переменными. Благодаря этой уязвимости хакеры смогли выпустить WETH на свой адрес. #IncidentAnalysisIn this case, the spoofed data will be passed and processed.The mint authority for the Wormhole ETH is a PDA and will sign the “mint” instruction.Lastly, the “invoked_seeded instr” will be successfully triggered and mint Wormhole ETH to the attacker. pic.twitter.com/YtoPZ2i5bo— CertiK Security Leaderboard (@CertiKCommunity) February 3, 2022 Аналитик безопасности Paradigm с ником samczsun отметил, что команда проекта связалась с адресом злоумышленников в сети Ethereum. Разработчики предложили вернуть активы за вознаграждение в $10 млн. holy fucking shit @wormholecrypto is not having a good time right now pic.twitter.com/Q6tcqAngCL— samczsun (@samczsun) February 2, 2022 Он также подтвердил, что уязвимость связана с верификацией входных данных протоколом кроссчейн-моста. По словам аналитика, эксплойт позволял полностью обойти проверку подписи.  This meant that you could create your own account which stored the same data that the Instructions sysvar would have stored, and substituted that account for the Instruction sysvar in the call to `verify_signatures`. This would essentially bypass signature validation entirely.— samczsun (@samczsun) February 3, 2022 Напомним, в январе 2022 года основатель Ethereum Виталик Бутерин назвал кроссчейн-мосты уязвимыми из-за проблем, связанных с безопасностью активов.

Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.