Хакери вивели з пулу кроссчейн-моста Wormhole понад $319 млн

У ніч на 3 лютого кроссчейн-протокол Wormhole на базі Solana зазнав хакерської атаки. Зловмисники скористалися експлойтом та вивели з пулу проекту 120 000 WETH (понад $319 млн за курсом на момент написання).

Розробники повідомили, що закрили вразливість та направили до пулу «додаткові ETH» для забезпечення підтримки ліквідності. На час розслідування інциденту команда закрила доступ до сервісу.

CertiK пояснили, що смарт-контракти Wormhole не виконували повну перевірку правильності вхідних даних, що дозволяло ініціювати транзакції з некоректними змінними. Завдяки цій уразливості хакери змогли випустити WETH на свою адресу.

Аналітик безпеки Paradigm під ніком samczsun зазначив, що команда проекту зв'язалася з адресою зловмисників у мережі Ethereum. Розробники запропонували повернути активи за винагороду $10 млн.

Він також підтвердив, що вразливість пов'язана з верифікацією вхідних даних протоколом кроссчейн-моста. За словами аналітика, експлойт дозволяв повністю обійти перевірку підпису. 

Нагадаємо, у січні 2022 року засновник Ethereum Віталік Бутерін назвав кроссчейн-мости вразливими через проблеми, пов'язані з безпекою активів.