Gli sviluppatori hanno corretto con successo una scappatoia utilizzata da un utente malintenzionato per sfruttare Wormhole, un protocollo bridge utilizzato per trasferire token tra le reti Solana ed Ethereum .
Secondo un tweet di Wormhole, fatti che ZyCrypto può ora confermare a seguito di una serie di transazioni ETH, l'attaccante aveva sfruttato una vulnerabilità sul bridge, sottraendo 120k di wrapping ether per un valore di 323 milioni di dollari.
Secondo gli esperti che ora sono impegnati nel ripristino della funzionalità del bridge, era difficile dire come l'attaccante abbia progettato l'exploit. In un primo momento, erano combattuti tra l'accertamento se l'attaccante avesse avuto accesso alle chiavi private o avesse sfruttato il bridge, ma in seguito decisero di lavorare a ritroso per rintracciare le impronte dello sfruttatore.
Quando gli utenti inviano risorse da una catena all'altra, Wormhole di solito blocca le risorse e conia una versione incapsulata dei token prima di rilasciarli alla catena di destinazione.
Nella prima transazione, l'attaccante ha trasmesso 80k ETH da Solana a Ethereum. In seguito ha effettuato un'ulteriore operazione aggregata di 120k ETH che è stata coniata dal nulla innescando il trasferimento di fondi reali secondo Kelvin Fitcher, uno sviluppatore di contratti intelligenti per Ethereum Optimism.
"L'attaccante è stato in grado di coniare Wormhole ETH su Solana, quindi sono stati in grado di ritirarlo correttamente su Ethereum ." ha twittato.
SamCzSun, uno sviluppatore di software di paradigma che ha unito le forze con altri due sviluppatori per decodificare l'exploit ha dichiarato: " Wormhole non ha convalidato correttamente tutti gli account di input, il che ha consentito all'attaccante di falsificare le firme dei guardiani e coniare 120.000 ETH su Solana, di cui ha ricondotto 93.750 a Ethereum.
Da allora gli sviluppatori di wormhole hanno messo una taglia per la restituzione del bottino.
Questo è uno dei più grandi exploit nella storia della DeFi e il più grande hack di bridge fino ad oggi, che si aggiunge agli oltre 2 miliardi di dollari di perdite subite dagli hack DeFi.
Sebbene la DeFi sia salutata come uno dei più grandi progressi nell'ecosistema blockchain, con il valore totale bloccato negli asset che è esploso a nuovi massimi da inizio anno, il rischio di attacchi è ugualmente salito alle stelle, spingendo vari utenti a pensare diversamente.
“Questo dimostra ancora una volta che la sicurezza dei servizi DeFi non ha raggiunto un livello adeguato alle ingenti somme immagazzinate al loro interno. La trasparenza della blockchain consente agli aggressori di identificare e sfruttare i bug principali ", ha commentato Tom Robinson, il capo scienziato della società di analisi blockchain Elliptic in seguito alla rapina a Wormhole.
Vitalik Buerin di Ethereum ha anche espresso disgusto per le reti cross-chain a causa della loro vulnerabilità agli attacchi mentre affronta le reti multi-chain come il futuro della DeFi.