Блокчейн-міст вибухнув на 326 мільйонів доларів

2022-03-01, 04:26

Коротко

В одному з найшокуючих хакерських інцидентів, про який повідомлялося за останні роки, популярна криптовалютна платформа Wormhole виявила значний експлойт, що відбувається в межах мосту між блокчейнами Ethereum і Solana. Офіційно підтвердивши злом через Twitter, Wormhole повідомила, що міст наразі офлайн, поки їхня команда досліджувала «потенційний» експлойт, оскільки мережеві аналітики звернули увагу на транзакцію 80 000 ETH, здійснену з Wormhole на адресу, яка володіє понад 250 мільйонами доларів США в Ethereum. , а ще 40 000 ETH зберігаються зловмисником в екосистемі Solana з метою купівлі та продажу інших активів.

Цей нещодавній експлойт, викликаючи тривогу в кількох спільнотах DeFi, означає, що будь-який Ethereum, підключений до Solana, може бути без підтримки, що потенційно ставить під загрозу кошти інвестора та всю екосистему Ethereum. В інтерв’ю CoinDesk Джордж Харрап, засновник платформи DeFi Step Finance на базі Solana, передбачає, що якщо Jump Capital не зможе втрутитися, щоб захистити вкрадений ETH, численні платформи на базі Solana, які приймають ETH як заставу, тепер можуть стати “частково неплатоспроможні”. Додаючи до цієї зростаючої дилеми, Харрап також визнав дуже актуальну можливість того, що якщо ніхто не підтримає зламаний Ethereum, то монети «справді зникнуть», а ціна ETH зрештою стане рівна нулю, що вплине на всіх, хто має його на своєму балансі, а також протоколи та користувачі DeFi.

Заповніть форму, щоб отримати 5 бонусних балів→

Що трапилося?

2 лютого мережа Wormhole була використана для 120 000 упакованих токенів Ethereum, вартість яких на момент інциденту оцінювалася приблизно в 326 мільйонів доларів. Було використано зв’язок з Ethereum, що дозволило здійснити надзвичайно згубну експлуатацію коштів користувачів.

Міст між двома мережами будується на основі ретельно розробленої інфраструктури смарт-контрактів, які сприяють взаємодії та транзакціям між різними блокчейнами, таким чином дозволяючи користувачам мосту здійснювати транзакції між двома різними блокчейнами після підключення свого гаманця до веб-додатку для допомоги в ініціації транзакцій. . Після підтвердження транзакції в початковому блокчейні криптоактив звільняється в блокчейні призначення та передається в гаманець користувача, що у випадку мережі Wormhole означає, що користувач може надсилати ETH і отримувати SOL в обмін.

Оскільки експлойт розгортався, Wormhole тимчасово закрила свій веб-сайт, назвавши закриття веб-сайту «обслуговуванням», оскільки їхня команда активно досліджувала потенційний «експлойт», які пізніше були консолідовані низкою криптоаналітиків, які повідомили про дві вкрай підозрілі транзакції. Дані блокчейну показали, що експлуататор знайшов спосіб використовувати мережу та викарбував 120 000 упакованих токенів Ethereum, а також підключив 10 000 ETH до блокчейну Ethereum. Минуло двадцять дві хвилини, і експлуататор здійснив ще одну атаку, захопивши 80 000 ETH під час величезної транзакції в блокчейні Ethereum, припускаючи, що експлуататор розподілив деякі з викрадених токенів Ethereum на різні гаманці Ethereum.

З точки зору Wormhole, нещодавно викарбуваний загорнутий Ethereum виглядав як загальні загорнуті токени Ethereum, що змусило їх випустити ETH на гаманець Ethereum, заснований на цьому сумнозвісному загорнутому Ethereum, що, по суті, дозволило експлуататору викрасти запаси самого Wormhole.

Як у Wormhole вирішують цю проблему?

Офіційно підтверджуючи злом, Wormhole написав твіт тисячам наляканих інвесторів і зацікавлених сторін, підтверджуючи експлойт і наголошуючи, що «вразливість виправлено», однак міст залишався несправним протягом тривалого періоду часу. Це триваюче закриття мосту між мережами Solana та Ethereum може бути наслідком того, що загорнутий Ethereum фактично не підтримується, що може зробити Ethereum у мережі Wormhole безцінним без подальшого втручання.

З проханням прояснити, чому стався інцидент, і спробувати виправити ситуацію, Ethereum ініціював транзакцію для експлуататора з приміткою, пропонуючи обміняти 10 мільйонів доларів США в обмін на всі активи в повному обсязі в рамках «винагороди за помилки».

Однак у ймовірному випадку, коли експлуататор вирішить втекти з нещодавно зібраними 326 мільйонами доларів, потрібне негайне втручання, щоб запобігти подальшим наслідкам для блокчейнів Ethereum і Solana відповідно. Ринки кредитування Solana та подібні протоколи можуть опинитися під загрозою, якщо ETH, випущений Wormhole, не вдасться перемкнути назад до основного ланцюга Ethereum, що зробить їх безцінними.

Однак засновник платформи Solana DeFi, Step Finance, Джордж Харрап заявив, що він передбачає, що Jump Capital, який придбав розробника Wormhole Certus One влітку 2021 року, може втрутитися в спробу підтримати зламаний ETH. Проте, якщо втручання не вдасться виправити величезні наслідки цього подвигу, такі мости, як Wormhole, можуть зникнути.

У відповідь на інцидент Віталік Бутерін твітнув про свої надії на те, що майбутнє будується на «багатоланцюговій» екосистемі, а не на «перехресній ланцюзі», через внутрішні фундаментальні обмеження безпеки мостів, які розраховують «на кілька зон суверенітету». Роблячи скріншот свого власного допису на Reddit, Бутерін посилається на підвищену безпеку зберігання «нативних активів Ethereum на Ethereum або нативних активів Solana на Solana, ніж утримання нативних активів Ethereum на Solana або нативних активів Solana на Ethereum» в результаті зростаюча популярність міжланцюгових бридж-експлойтів і спосіб, у який вони можуть зменшити підтримку різних смарт-контрактів і виявити їх уразливість.

Технологія крос-ланцюгового обміну давно зазнавала критики через свої обмеження безпеки, особливо тому, що здатність до експлуатації була продемонстрована в нещодавніх інцидентах, які, у свою чергу, можуть збільшити кількість розробників і аналітиків, які звертаються до перспективного майбутнього, побудованого з кількох надійно захищених і незалежні ланцюги.

Автор: Метью В.Д., дослідник Gate.io
*Ця стаття представляє лише погляди дослідника та не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.