Wormhole expuso las vulnerabilidades en los puentes de cadena cruzada
- Un ataque al Wormhole Token Bridge lo dejó por debajo de los 120 000 wETH.
- Desde entonces, la empresa matriz de Wormhole ha restaurado los tokens robados.
El miércoles, la plataforma de puente de contrato inteligente Wormhole fue atacada por un exploit a través del cual un atacante acuñó y se llevó 120,000 tokens wETH.
Después de confirmar el jueves por la mañana que se habían remediado las vulnerabilidades, Wormhole dijo más tarde ese mismo día que se habían recuperado los más de $ 320 millones en wETH perdidos por el exploit.
" Todos los fondos han sido restaurados y Wormhole está nuevamente en funcionamiento. Estamos profundamente agradecidos por su apoyo y gracias por su paciencia", decía un tuit del equipo.
El equipo de Wormhole también les dijo a los usuarios que estaba preparando un informe de incidentes sobre el asunto y que lo publicaría pronto.
Jump Capital, que compró el desarrollador de Wormhole, Certus One, en agosto pasado, entró en juego y confirmó que es la entidad que reemplazó los tokens robados, un movimiento esencial para evitar que la comunidad se convierta en un caos por ETH sin respaldo.
" Jump Crypto cree en un futuro multicadena y que Wormhole es una infraestructura esencial. Es por eso que reemplazamos 120k ETH para que los miembros de la comunidad estén completos y apoyen a Wormhole ahora que continúa desarrollándose".
En particular, el ataque calificó como la segunda pérdida individual más grande en la historia de DeFi y la cuarta más grande en el espacio de las criptomonedas.
Cómo ocurrió el exploit
El implementador de Wormhole notó por primera vez el exploit el miércoles por la noche, luego de lo cual su equipo le dijo a la comunidad que estaba eliminando su sitio web por mantenimiento para un posible ataque. Alrededor de las 18:24 UTC, el pirata informático apuntó a la verificación Solana VAA de Wormhole y pudo acuñar los tokens de 120,000 wETH.
" La red de agujero de gusano se explotó por 120 000 wETH. Se agregará ETH en las próximas horas para garantizar que wETH esté respaldado 1:1. Próximamente se brindarán más detalles. Estamos trabajando para que la red vuelva a funcionar rápidamente. Gracias por su paciencia". explicó el equipo.
El atacante canjeó 93,750 tokens en Ether y usó parte de la cantidad para adquirir otros tokens, incluidos Bored Ape Yacht Club Token (APE) y Finalmente Usable Crypto Karma (FUCK). El wETH restante se cambió por SOL y USDC.
Después del hackeo, un mensaje de blockchain muestra que Wormhole extendió una mano al atacante y estaba listo para desprenderse de $10 millones como parte de un acuerdo con Whitehat.
" Nos dimos cuenta de que pudo explotar los tokens de verificación y acuñación de VAA de Solana. Nos gustaría ofrecerle un acuerdo de Whitehat y presentarle una recompensa por errores de $ 10 millones para detalles de explotación y devolver el wETH que ha acuñado. Puede comuníquese con nosotros a contact@certus.one ”, decía el mensaje.
La plataforma de clasificación de contratos inteligentes CertiK advirtió que las mismas vulnerabilidades que expusieron el puente Solana podrían estar presentes en el puente Terra de Wormhole. El mes pasado, el cofundador de Ethereum, Vitalik Buterin, advirtió que los puentes entre cadenas no eran seguros y podrían ser susceptibles a ataques.