Wormhole, een brug tussen verschillende netwerken als Solana (SOL) en Ethereum (ETH), is gisteravond gehackt. De hacker is er met 120.000 wrapped ethereum (wETH) vandoor gegaan ter waarde van $320 miljoen. Hoe kon dit gebeuren?
Hacker steelt gigantische hoeveelheid ethereum
Gisteravond merkten blockchain beveiligingsspecialisten op dat er iets mis was met Wormhole, de brug waarmee gebruikers digitale activa tussen verschillende netwerken kunnen versturen. De hacker in kwestie wist er uiteindelijk met 120.000 wETH vandoor te gaan met een waarde van $320 miljoen. Wormhole werd snel uit de lucht gehaald aangezien het om een zogenoemde exploit ging.
‼️ The wormhole network is down for maintenance as we look into a potential exploit.
📢 We will provide updates here as soon as we have them.
🙏 Thank you for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
Dat houdt in dat er een fout in de code van de applicatie zat waarmee de hacker toegang wist te krijgen en wETH aan kon maken. In een Twitter thread legt blockchain beveiligingsspecialist Samczsun uit hoe de hacker te werk ging.
Hoe de hacker te werk ging
Het gaat om een ingewikkeld proces. Door Wormhole te misleiden door functies op te roepen in een bepaalde volgorde, werd de verificatie van signatures omzeild. Vind hier de precieze details van hoe de hacker te werk ging. De samenvatting is als volgt:
“Wormhole valideerde niet alle invoeraccounts goed, waardoor de aanvaller de handtekeningen van de guardians kon vervalsen en 120.000 ETH op Solana kon aanmaken, waarvan ze er 93.750 terug naar Ethereum brachten.”
tl;dr – Wormhole didn't properly validate all input accounts, which allowed the attacker to spoof guardian signatures and mint 120,000 ETH on Solana, of which they bridged 93,750 back to Ethereum.
— samczsun (@samczsun) February 3, 2022
Probleem werd gisteren nog aangekaart
Wat het voorval nog pijnlijker maakt is dat het probleem waar de hacker gebruik van wist te maken, gisteren nog op Github werd geplaatst. Op 13 januari werd het probleem opgelost en gisteren op Github gezet. Het team achter Wormhole had helaas niet genoeg tijd om de fix door te voeren in de code. Het lijkt erop dat de hacker de fix, die dus openbaar te zien was op Github, wist te gebruiken om de kwetsbaarheid op te sporen en deze te misbruiken.
Correct, it was fixed on January 13th, pushed to Github just today and exploited quickly after that https://t.co/2Z0djF86TY
— Alex Smirnov 🌉 (@AlexSmirnov__) February 3, 2022
$10 miljoen aangeboden aan hacker
Het team probeert nu via de blockchain te onderhandelen met de hacker. Het hoopt de buit ($320 miljoen) terug te krijgen en biedt in ruil een beloning van $10 miljoen aan. De beloning is voor het opsporen en aan het licht brengen van de kwetsbaarheid in de code. Het aanbod werd met enig ongeloof ontvangen in de crypto community aangezien het relatief laag is vergeleken met de buit.
