Компания CertiK обнаружила и предотвратила уязвимость в кроссчейн мосте Wormhole, которая могла привести к убыткам на сумму до $5 млн.

В сообщении в социальных сетях CertiK сообщила, что ее исследовательская команда обнаружила критическую ошибку в Wormhole — неправильное применение публичного и входного модификаторов, что могло привести к потенциальным многомиллионным эксплойтам.

В коротком видео-обзоре CertiK объясняет, как она обнаружила эту уязвимость в сети. CertiK отмечает, что этот случай изучения подчеркивает важность проактивных мер безопасности и также празднует силу открытого программного обеспечения в повышении стандартов безопасности и прозрачности по всему миру Web3.

Wormhole поддерживает передачу токенов и данных между различными блокчейн-сетями. Этот криптопроект был отделен от Jump Trading Group и является одним из самых популярных мостов, соединяющих блокчейны Ethereum и Solana.
Wormhole Пережил Самую Крупную Атаку Децентрализованных Финансов в 2022 году

В 2022 году Wormhole потерял около 321 миллиона долларов в результате взлома. Хакеры взломали мост Wormhole, что привело к потере 120 000 wETH с платформы, что эквивалентно 321 миллиону долларов. Это была самая крупная атака DeFi в 2022 году, и хакеры обменяли wETH токены на Ethereum, SOL, USDC, APE, SX и т.д.

Расследование, проведенное анонимным исследователем Пландом, подробно описанное в посте X от 4 апреля, показало, что команда Wormhole пропустила несколько адресов кошельков, связанных с эксплойтом, которые вывели 321 миллион долларов в криптовалюте с моста кросс-цепочки.

Chainalysis утверждает, что для понимания того, почему эта атака 2022 года была более серьезной, чем обычный взлом, важно понимать, как работают мосты между цепочками.

"Пользователи взаимодействуют с мостами между цепочками, отправляя средства в одном активе на протокол моста, где эти средства затем блокируются в контракте. Пользователю выдаются эквивалентные средства параллельного актива на цепи, которую мост соединяет. В случае Wormhole пользователи обычно отправляют Ether (ETH) в протокол, где он хранится в качестве залога, и получают WeETH на Solana, обеспеченные залогом, заблокированным в контракте Wormhole на Ethereum", — Chainalysis: Уроки из эксплойта Wormhole.

Апрель 2024 года стал самым низким месяцем потерь от крипто-хаков и мошенничеств, с CertiK, сообщающим о примерно 25,7 миллиона долларов, потерянных в результате эксплойтов, хаков и мошенничеств.

Это последнее число указывает на самый низкий зарегистрированный взлом с тех пор, как CertiK начала отслеживать такие инциденты в 2021 году, поскольку атаки с использованием Flash Loan и частные критические взломы снизились.