- Un attacco al Wormhole Token Bridge lo ha lasciato con meno di 120.000 wETH.
- La società madre di Wormhole da allora ha ripristinato i token rubati.
Mercoledì la piattaforma bridge smart contract Wormhole è stata presa di mira da un attacco attraverso il quale un aggressore ha coniato e rubato 120.000 token wETH.
Giovedì, dopo aver confermato al mattino che le vulnerabilità erano state risolte, Wormhole ha affermato più tardi nel corso della giornata che gli oltre 320 milioni di dollari di wETH persi a causa dell'exploit erano stati recuperati.
"Tutti i fondi sono stati ripristinati e Wormhole è tornato. Siamo profondamente grati per il tuo supporto e ti ringraziamo per la pazienza", si legge in un tweet del team.
Il team di Wormhole ha anche detto agli utenti che stava preparando un rapporto sull'incidente sulla questione e che lo avrebbe rilasciato presto.
Jump Capital, che ha acquistato lo sviluppatore di Wormhole Certus One lo scorso agosto, è entrato in gioco e ha confermato che è l'entità che ha sostituito i token rubati, una mossa essenziale per impedire alla comunità di precipitare nel caos a causa di ETH senza supporto.
"Jump Crypto crede in un futuro multichain e crede che Wormhole sia un'infrastruttura essenziale. Ecco perché abbiamo sostituito 120.000 ETH per restituirli ai membri della comunità e supportare Wormhole mentre continua a svilupparsi".
In particolare, l'attacco si è qualificato come la seconda perdita singola più grande nella storia della DeFi e la quarta più grande nello spazio delle criptovalute.
Come si è verificato l'exploit
Il deployer di Wormhole ha notato l'exploit mercoledì sera, dopodiché il suo team ha detto alla community che stava mettendo offline il sito Web per la manutenzione per un potenziale hack. Intorno alle 18:24 UTC, l'hacker ha preso di mira la verifica Solana VAA di Wormhole ed è stato in grado di coniare i 120.000 token wETH.
"La rete Wormhole è stata sfruttata per 120.000 wETH. ETH verrà aggiunto nelle prossime ore per garantire il backup di wETH 1:1. Maggiori dettagli arriveranno a breve. Stiamo lavorando per ripristinare rapidamente la rete. Grazie per la pazienza," ha spiegato il team.
L'hacker ha riscattato 93.750 token in Ether e ha utilizzato parte dell'importo per acquisire altri token, tra cui Bored Ape Yacht Club Token (APE) e Finally Usable Crypto Karma (FUCK). Il restante wETH è stato trasformato in SOL e USDC.
Dopo l'hacking, un messaggio blockchain mostra che Wormhole ha teso una mano all'hacker dicendo che era pronto a cedere 10 milioni come parte di un accordo Whitehat.
"Abbiamo notato che sei stato in grado di sfruttare la verifica Solana VAA e coniare i token. Vorremmo offrirti un accordo Whitehat e presentarti un bug bounty di 10 milioni per avere i dettagli dell'exploit e restituire il wETH che hai coniato. Puoi contattarci all'indirizzo [email protected] ", si leggeva nel messaggio.
La piattaforma di classificazione degli smart contract CertiK ha avvertito che le stesse vulnerabilità che hanno esposto il bridge Solana potrebbero essere presenti sul bridge Terra di Wormhole. Il mese scorso, il co-fondatore di Ethereum Vitalik Buterin ha avvertito che i bridge cross-chain non sono sicuri e potrebbero essere soggetti ad attacchi.