Il bridge Wormhole, che connette la blockchain di Ethereum a quella di Solana, è stato attaccato con successo da alcuni hacker.
Summary
Solana, gli hacker colpiscono il bridge Wormhole
La notizia è stata pubblicata sul profilo Twitter di Wormhole, comunicando che l’hacker è riuscito ad entrare in possesso di 120.000 wETH.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
I token wETH rappresentano ETH su Solana, quindi dovrebbero avere lo stesso valore di ETH. 120.000 wETH pertanto corrisponderebbero attualmente a circa 320 milioni di dollari.
Onde evitare che wETH perda il “peg” con ETH, il team di Wormhole ha promesso di intervenire ampliando il collaterale con ulteriori ETH per garantire il tasso di cambio 1:1.
Poche ore dopo la notizia dell’attacco, il team di Wormhole ha comunicato di aver individuato e risolto il problema, e che la rete sarà ripristinata a breve.
The vulnerability has been patched.
We are working to get the network back up as soon as possible.
— Wormhole🌪 (@wormholecrypto) February 3, 2022
I problemi di Wormhole
Ora il problema rimane il tasso di cambio tra wETH ed ETH, perché non è detto che Wormhole riesca a garantire la parità.
L’exploit è stato reso noto dal ricercatore di sicurezza Paradigm samczsun, e sulla blockchain di Ethereum è comparso anche un messaggio, probabilmente dello stesso team di Wormhole, con scritto:
“Abbiamo notato che sei stato in grado di sfruttare la verifica VAA Solana ed i mint token. Vorremmo offrirti un accordo whitehat e presentarti un bug bounty di 10 milioni di dollari per sfruttare i dettagli e restituire i wETH che hai coniato”.
La verifica VAA è la “validator action approval” riferita al processo con cui vengono approvate le transazioni su Solana.
Il bridge di Wormhole non collega solamente la blockchain di Ethereum a quella di Solana, ma anche a quelle di Binance Smart Chain, Polygon, Terra, Avalanche e Oasis.
L’ipotesi è che l’hacker sia riuscito a coniare sulla blockchain di Solana 120.000 token wETH senza depositare il dovuto collaterale, ovvero dal nulla. Il problema è che ora, per garantire che tutti i token wETH su Solana abbiano il valore di 1 ETH, sarà necessario depositare sullo smart contract di Wormhole 120.000 ETH.
Inoltre non è il primo problema avuto ultimamente da Solana, che a quanto pare è spesso oggetto delle attenzione degli hacker.
