Firma dbająca o bezpieczeństwo, CertiK, stwierdziła, że wykryła i zapobiegła usterce w tunelu Wormhole mostu międzyłańcuchowego, która mogła spowodować straty o wartości 5 milionów dolarów.
W poście w mediach społecznościowych CertiK poinformował, że jego zespół badawczy znalazł krytyczny błąd w Wormhole — nieprawidłowe zastosowanie modyfikatorów public i wejściowych, narażających blockchain na potencjalne wielomilionowe exploity.
W krótkim filmie wyjaśniającym CertiK opisuje, w jaki sposób wykrył usterkę w sieci. Firma stwierdziła, że to studium przypadku nie tylko podkreśla kluczową rolę proaktywnych praktyk bezpieczeństwa, ale także celebruje siłę oprogramowania typu open source w podnoszeniu standardów bezpieczeństwa i przejrzystości w całym świecie Web3.
Wormhole obsługuje przesyłanie tokenów i danych pomiędzy różnymi sieciami blockchain. Projekt ten został wydzielony przez Jump Trading Group i jest jednym z najpopularniejszych mostów łączących łańcuchy bloków Ethereum i Solana.
Wormhole doświadczył największego ataku DeFi w 2022 r
W 2022 roku Wormhole stracił w wyniku exploita około 321 milionów dolarów. Hakerzy włamali się do Wormhole Bridge, co doprowadziło do utraty 120 000 wETH z platformy, co stanowi równowartość 321 milionów dolarów. Był to największy atak DeFi w 2022 roku i haker zamienił tokeny wETH na Ethereum, SOL, USDC, APE, SX itp.
Dochodzenie przeprowadzone przez pseudonimowego badacza Planda, szczegółowo opisane w poście X z 4 kwietnia, ujawniło, że zespół Wormhole przeoczył wykluczenie kilku adresów portfeli powiązanych z exploitem, który wyciągnął 321 milionów dolarów z mostu międzyłańcuchowego.
Chainalytic stwierdził, że aby zrozumieć, dlaczego atak z 2022 r. był poważniejszy niż przeciętny atak hakerski, należy wiedzieć, jak działają mosty międzyłańcuchowe.
„Użytkownicy wchodzą w interakcję z mostami międzyłańcuchowymi, wysyłając środki z jednego zasobu do protokołu mostu, gdzie środki te są następnie blokowane w umowie. Użytkownik otrzymuje następnie równoważne środki z aktywów równoległych w łańcuchu, z którym łączy się protokół. W przypadku Wormhole użytkownicy zazwyczaj wysyłają Ether (ETH) do protokołu, gdzie jest on przechowywany jako zabezpieczenie, i otrzymują WeETH na platformie Solana, zabezpieczony tym sposobem i zablokowany w kontrakcie Wormhole na Ethereum” — Chaina Analysis: Lessons from the Eksploatacja Wormhole.
W kwietniu 2024 r. straty z włamań i oszustw były najniższe w ostatnich latach, przy czym CertiK odnotował straty w wysokości około 25,7 mln dolarów w wyniku exploitów, włamań i oszustw.
Oznacza to najniższy poziom odnotowanych ataków hakerskich od czasu, gdy CertiK zaczął monitorować takie incydenty w 2021 r., wraz ze spadkiem liczby ataków związanych z pożyczkami typu flash i prywatnymi atakami krytycznymi.