ワームホールは、これまでで最大のDeFiベイルアウトでのVC資金調達を通じて、ハッキングされた3億ドルを復元します

分散型ファイナンススペースは、2月3日にEtherで3億2100万ドルを超える額があったときに、今年の最初の大きな後退を経験しました。 盗まれた クロスチェーンネットワークワームホールから。 今年最初の数百万のDeFiハッキングではありませんでしたが、この短期間で間違いなく最大であり、史上2番目に大きいものでした。

ハッカーはなんとか120,000ラップをミントしました エーテル （wETH）オン ソラナ、その後、イーサリアムネットワークで93,750wETHをETHに交換しました。 残りは、ソラナのプラットフォームで他の小型アルトコインと交換されました。

失われたトークンを取り戻すことを約束した後、ワームホールチームは今 明らかに 失われた資金が回復したこと。 そして、プラットフォームは再び動作可能になります。 また、利用者の資金もすべて確保されているとのことでした。 ただし、追って通知があるまで利用できません。

120,000 ETHは、ワームホールトークンブリッジの開発者であるCertusOneを所有する暗号ベンチャー企業であるJumpCryptoに置き換えられました。

これまでに記録された単一の最大のDeFiベイルアウトにより、プラットフォームはすぐに立ち直りました。 ただし、ハッカーから120,000wETHを回復するという巨大なタスクはまだ彼らを待っています。 そのために、ワームホールはチェーン上の悪党に連絡を取り、資金の見返りとして1,000万ドルの報奨金を提供しました。

多くの専門家がこの謎を解くという課題に飛びついたとしても、プラットフォームはこの問題に関するインシデントレポートをまだ公開していません。 RektCapitalの背後にいるアナリストは独自の 仮説、ハッカーが「保護者」を迂回したことを述べ、前のトランザクションで作成されたSignatureSetを使用して、ソラナのワームホールブリッジ上のチェーン間の転送を承認するエンティティ。

その後、ハッカーは、トークンの作成を許可するネットワークのスマートコントラクトのバグを悪用することができ、その結果、「以前のトランザクションで作成されたVAA検証を使用してSolanaで120kwETHを不正に作成する」ことができました。

ETHレイヤー2ソリューションOptimismの開発者であるKelvinFitcherは、さらに多くのことを提供しました 詳細な分析 ハッカーの歩みをさかのぼってTwitterで事件を追跡します。 彼によると、ハッカーは法外な量を鋳造する前に、最初に0.1ETHをソラナに預けていました。

彼はさらに、「メッセージ転送」コントラクトは、保護者からの署名をチェックすることによってメッセージが有効かどうかをチェックする「post_vaa」と呼ばれる関数をトリガーすることによってSolanaで作成されると説明しました。 フィッチャー氏は、ハッカーはコードのいくつかの不一致を悪用することで検証プロセスを回避することができたと付け加えた。

「この「偽の」システムプログラムを使用すると、攻撃者は署名チェックプログラムが実行されたという事実について事実上嘘をつく可能性があります。 署名はまったくチェックされていませんでした…攻撃者は、保護者がソラナのワームホールへの120kのデポジットを承認しなかったにもかかわらず、承認したように見せかけました。 攻撃者が今やらなければならないことは、イーサリアムに引き戻すことで「プレイ」マネーを現実のものにすることだけでした。」

アナリストは、問題のバグがワームホールによって無意識のうちに修正されようとしていると結論付けました。悪用者はおそらく同じことについて事前に知っていて、脆弱性にパッチが適用される前に迅速に行動しました。

これは英語版からの翻訳です。