Cầu nối đa chuỗi Wormhole bị hack $321M
Cầu nối giữa Ethereum và Solana của Wormhole bị đánh mất 120.000 WETH ( ~310M$) khỏi nền tảng và được phân phối đến các ví ETH và SOL của hacker.
Wormhole là một cầu nối mã thông báo cho phép người dùng gửi và nhận tiền điện tử giữa Ethereum, Solana, BSC, Polygon, Avalanche, Oasis và Terra mà không cần sử dụng sàn giao dịch tập trung (CEX). Đây là vụ hack tiền điện tử lớn nhất năm 2022 cho đến nay và là vụ hack DeFi lớn thứ hai cho đến nay. Nhóm Wormhole đã đề nghị một khoản tiền thưởng trị giá 10 triệu đô la cho việc hoàn trả tiền.
Vụ hack diễn ra ở phía cầu nối với Solana và có những lo ngại rằng cầu nối của Wormhole với Terra cũng có thể bị tổn thương tương tự.
Nhóm Wormhole đã đảm bảo với cộng đồng rằng nguồn cung cấp ETH của họ sẽ được bổ sung để “đảm bảo WETH được hỗ trợ 1: 1”, nhưng vẫn chưa có thông tin nào về việc các khoản tiền đó sẽ đến từ đâu hoặc khi nào.
Vụ tấn công diễn ra lúc 6:24 chiều UTC vào ngày 2 tháng 2. Kẻ tấn công đã tạo ra 120.000 WETH (WETH) trên Solana, sau đó đổi 93.750 WETH lấy ETH trị giá 254 triệu đô la vào mạng Ethereum lúc 6:28 chiều UTC. Kể từ đó, hacker đã sử dụng một số quỹ để mua SportX (SX), Meta Capital (MCAP), Cuối cùng là Crypto Karma Có thể Sử dụng được (FUCK) và Bored Ape Yacht Club Token (APE).
WETH còn lại được hoán đổi cho SOL và USDC trên Solana. Ví Solana của tin tặc hiện đang nắm giữ 432.662 SOL (44 triệu đô la).
Không có tài sản hoặc chuỗi nào khác do Wormhole phục vụ đã bị ảnh hưởng, nhưng công ty kiểm toán hợp đồng thông minh Certik cho biết trong một báo cáo ngày hôm nay rằng “Có thể cầu nối của Wormhole với blockchain Terra có cùng lỗ hổng như cầu Solana của họ.”
Nhóm Wormhole đã liên hệ với hacker thông qua địa chỉ Ethereum của họ để đề nghị cho phép hacker giữ số tiền trị giá 10 triệu đô la bị đánh cắp nếu số tiền còn lại được trả lại.
“Đây là Người triển khai Wormhole: Chúng tôi nhận thấy bạn có thể khai thác xác minh Solana VAA và mã thông báo đúc tiền. Chúng tôi muốn cung cấp cho bạn một thỏa thuận minh bạch và giới thiệu cho bạn một khoản tiền thưởng lỗi là 10 triệu đô la để biết chi tiết khai thác và trả lại WETH bạn đã đúc. Bạn có thể liên hệ với chúng tôi tại [email protected] ”
Tính đến thời điểm viết bài, các mã thông báo wETH được gửi qua cầu vẫn chưa thể đổi được trong khi nhóm Wormhole cố gắng khắc phục việc khai thác.
Đây là lần khai thác hợp đồng thông minh thứ hai trên cầu mã thông báo trong một tuần. Vào ngày 28 tháng 1, QBridge của Qubit Finance đã được khai thác với giá 80 triệu đô la trên BSC. Nó cũng gợi nhớ đến vụ hack Poly Network vào tháng 8 năm ngoái, trong đó 610 triệu đô la tiền điện tử đã bị đánh cắp khỏi nền tảng. Trong trường hợp đó, gần như tất cả số tiền đã được trả lại bởi hacker trắng.
Tần suất xảy ra các vụ hack hợp đồng thông minh trên các cầu mã thông báo nhằm xác thực cảnh báo vào ngày 7 tháng 1 của Vitalik Buterin rằng có “các giới hạn bảo mật cơ bản của cầu nối”. Lời khuyên của người đồng sáng lập Ethereum là trong bối cảnh cuộc tấn công 51% vào Ethereum, nhưng lời khuyên của ông ấy là đúng lúc vì ông ấy chỉ ra lỗ hổng chung rõ ràng trên các cầu gửi mã thông báo qua các blockchains lớp 1.
Nguồn Cointelegraph