Протокол Wormhole лишился более $319 млн из-за хакеров

В ночь на 3 февраля кроссчейн-протокол Wormhole на базе Solana подвергся хакерской атаке. Злоумышленники воспользовались эксплойтом и вывели из пула проекта 120 000 WETH (свыше $319 млн по курсу на момент написания).

https://t.co/TqkVwHqo9c

— Wormhole🌪 (@wormholecrypto) February 3, 2022

Разработчики сообщили, что закрыли уязвимость и направили в пул «дополнительные ETH» для обеспечения поддержки ликвидности. На время расследования инцидента команда закрыла доступ к сервису.

В CertiK объяснили, что смарт-контракты Wormhole не выполняли полную проверку правильности входных данных, что позволяло инициировать транзакции с некорректными переменными. Благодаря этой уязвимости хакеры смогли выпустить WETH на свой адрес.

#IncidentAnalysis

The investigation inside Wormhole Bridge

The attacker invoked the complete_wrapped instruction with the spoofed inputs `ctx`, `accs` and `data`

The instruction does not perform complete verification on the correctness of the input `ctx`, `accs`, and `data`. pic.twitter.com/IQAEqvphBO

— CertiK Security Leaderboard (@CertiKCommunity) February 3, 2022

Аналитик безопасности Paradigm с ником samczsun отметил, что команда проекта связалась с адресом злоумышленников в сети Ethereum. Разработчики предложили вернуть активы за вознаграждение в $10 млн.

holy fucking shit @wormholecrypto is not having a good time right now pic.twitter.com/Q6tcqAngCL

— samczsun (@samczsun) February 2, 2022

Он также подтвердил, что уязвимость связана с верификацией входных данных протоколом кроссчейн-моста. По словам аналитика, эксплойт позволял полностью обойти проверку подписи. 

And herein lies the problem. The `solana_program::sysvar::instructions` mod is meant to be used with the Instructions sysvar, a sort of precompile on Solana. However, the version of `solana_program` that Wormhole used didn't verify the address being used. pic.twitter.com/wpyhxBaMaI

— samczsun (@samczsun) February 3, 2022

В январе 2022 года основатель Ethereum Виталик Бутерин назвал кроссчейн-мосты уязвимыми из-за проблем, связанных с безопасностью активов.