Розробники повідомили, що закрили вразливість та направили до пулу «додаткові ETH» для забезпечення підтримки ліквідності. На час розслідування інциденту команда закрила доступ до сервісу.
CertiK пояснили, що смарт-контракти Wormhole не виконували повну перевірку правильності вхідних даних, що дозволяло ініціювати транзакції з некоректними змінними. Завдяки цій уразливості хакери змогли випустити WETH на свою адресу.
Аналітик безпеки Paradigm під ніком samczsun зазначив, що команда проекту зв'язалася з адресою зловмисників у мережі Ethereum. Розробники запропонували повернути активи за винагороду $10 млн.
Він також підтвердив, що вразливість пов'язана з верифікацією вхідних даних протоколом кроссчейн-моста. За словами аналітика, експлойт дозволяв повністю обійти перевірку підпису.
Нагадаємо, у січні 2022 року засновник Ethereum Віталік Бутерін назвав кроссчейн-мости вразливими через проблеми, пов'язані з безпекою активів.