Solana 生態主流的跨鏈協議 Wormhole 在 3 日遭到駭客攻擊,高達 12 萬顆 WETH 被盜,價值約 3.2 億美元,成為 DeFi 史上規模第二大的竊盜案。 Wormhole 官方目前正在呼籲駭客歸還被盜資金,並承諾給予 1000 萬美元賞金和一份「白帽合約」。
(前情提要:Solana出大事?受害者 : Bonfida可無簽署rug任何人 .sol 域名、有人沒開槓桿卻遭清算
(事件背景:V神觀點:未來是 “多鏈” 而非 “跨鏈”!跨鏈橋存在基礎安全限制,遭攻擊會同時受害
連接 Solana 和其他區塊鏈的跨鏈協議 Wormhole 在 3 日遭遇駭客攻擊,根據 Wormhole 官方公告,高達 12 萬顆 WETH 被盜,以以太幣(ETH)現價 2,670 美元換算,相當於約 3.2 億美元。
目前相關漏洞已修復, Wormhole 官方也已承諾會在幾小時後補回 12 萬顆 ETH,以確保 WETH : ETH 得到 1:1 的支撐。
Wormhole 官方最先是在 3 日凌晨 4 時 42 分宣布遭遇駭客攻擊:
在我們調查潛在漏洞的同時, wormhole 因維護而停機。
我們將在獲得更新資訊後,立即在此提供更新。
感謝您的耐心等待。
‼️ The wormhole network is down for maintenance as we look into a potential exploit.
📢 We will provide updates here as soon as we have them.
🙏 Thank you for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
到了 3 日凌晨 6 時 25 分,Wormhole 官方首度披露被盜金額
Wormhole 網路遭遇漏洞攻擊,12 萬顆 wETH 被盜, ETH 將在接下來的幾個小時內添加,以確保 wETH 得到 1:1 的支持,更多細節很快就會釋出,我們正在努力讓網路快速恢復,感謝您的耐心。
案發後 4 小時(3 日上午 8 時 41 分),Wormhole 官方終於在推特宣布
經開發者 @samczsun、@gf_256及@ret2jazzy重新循線測試駭客攻擊手法,確認漏洞確實已成功修復。
How did the @wormholecrypto exploit work? I joined forces with @gf_256 and @ret2jazzy to reverse engineer the exploit, and now that it’s been patched we can finally share it with you👇 pic.twitter.com/lXwD0GLZ3N
— samczsun (@samczsun) February 3, 2022
被盜資金流向
Etherscan 數據顯示,攻擊者已將 93700 顆 wETH 兌換為 ETH 回到以太坊網路,其餘 wETH 則被用於兌換成 USDC、SOL 與其他山寨幣。
根據 DeFiYield 的統計,這起竊盜案可能將是今年迄今為止對加密貨幣平台的最大規模駭客攻擊,並且是有史以來 DeFi 平台被盜金額第二大的 DeFi 駭客攻擊。DeFi 史上最大盜竊案發生歸還
值得注意的是,Wormhole 官方在 3 日清晨 4 時發送給駭客的一筆交易中,附上了一則訊息,呼籲駭客歸還被盜資金,並承諾此舉將能換取 1000 萬美元的賞金以及一份「白帽合約」,這意味著 Wormhole 將不會對攻擊者提起任何刑事訴訟。
Wormhole 官方在訊息中表示:
這裡是 Wormhole 開發者:
我們注意到您利用了 Solana VAA 驗證和鑄造代幣的漏洞,我們願意為您提供一份白帽協議,並向您提供 1000 萬美元的發現漏洞賞金,用於獲取漏洞細節,並返還您的 wETH, 您可以通過 [email protected] 與我們聯繫。
這名駭客的作為已為 DeFi 領域拉響警鐘。區塊鏈分析公司 Elliptic 共同創辦人 Tom Robinson 向《彭博》表示,這再次證明,DeFi 服務的安全性尚未達到適合儲存巨額資金的水平,區塊鏈的透明度,允許攻擊者識別和利用主要漏洞。
有先見之明的是,根據動區日前報導
