بزرگترین هک ۲۰۲۲؛ سرقت ۳۲۱ میلیون دلار از پل ورمهول
ورمهول (Wormehole)، پل ارتباطی که تعاملات و تبادل توکن بین سولانا و اتریوم را امکانپذیر میسازد، هک شد و طی آن، ۱۲۰,۰۰۰ توکن wETH از این پلتفرم سرقت شد و به کیف پول هکر انتقال یافت.
به گزارش میهن بلاکچین و به نقل از کوین تلگراف، پل ارتباطی ورمهول امروز با یک نفوذ امنیتی مواجه شده است که طی آن، ۱۲۰,۰۰۰ توکن wETH به ارزش تقریبی ۳۲۱ میلیون دلار از این پلتفرم از دست رفت.
ورمهول یک پل ارتباطی است که به کاربران امکان میدهد تا بدون نیاز به صرافیهای متمرکز (CEX) بین اتریوم، سولانا، بایننس اسمارت چین، پالیگان، آوالانچ، اوسیس (Oasis) و ترا به ارسال و دریافت رمزارز بپردازند. این اتفاق، بزرگترین هک کریپتو در سال ۲۰۲۲ و دومین هک بزرگ تاریخ دیفای است. تیم توسعهدهنده ورمهول به هکر موردنظر، ۱۰ میلیون دلار جایزه برای یافتن باگ و برگرداندن سرمایهها پیشنهاد داده است.
این هک در بخش سولانای این پل رخ داده است و نگرانی و ترسهایی وجود دارد که ممکن است در قسمت ترا این پل نیز آسیبپذیری مشابهی وجود داشته باشد.
تیم توسعهدهنده ورمهول به جامعه خود اطمینان داده است که موجودی اتر این پل مجددا تامین و پر میشود تا از داشتن پشتوانه یک به یک با توکن wETH اطمینان حاصل شود، اما هنوز مشخص نشده است که این سرمایه از کجا و در چه زمانی تامین خواهد شد.
این هک در ساعت ۶:۲۴ روز ۲ فوریه (ساعت ۹:۵۴ روز ۱۳ بهمن) رخ داده است که طی آن، هکر ۱۲۰,۰۰۰ توکن wETH در سولانا صادر کرده و سپس در ساعت ۶:۲۸ (۹:۵۸ به وقت ایران) ۹۳,۷۵۰ توکن wETH به ارزش تقریبی ۲۵۴ میلیون دلار را در شبکه اتریوم به اتر تبدیل کرده است. پس از آن، هکر از بخشی از سرمایه سرقتشده برای خرید توکنهای SportX (SX)، متا کپیتال (MCAP)، فاینالی یوزبل کریپتو کارما و APE استفاده کرده است.
باقی سرمایه سرقتشده با رمزارزهای SOL و USDC در شبکه سولانا تبادل شده است. کیف پول سولانای هکر در حال حاضر ۴۳۲,۶۶۲ توکن SOL به ارزش تقریبی ۴۴ میلیون دلار در اختیار دارد.
سایر داراییها و زنجیرههای تحت فعالیت ورمهول تحت تاثیر این هک قرار نگرفتهاند، اما شرکت حسابرسی قراردادهای هوشمند سرتیک (Certik) در گزارش امروز خود گفته، ممکن است که پل ورمهول به بلاک چین ترا نیز آسیبپذیری مشابهی با پل سولانا داشته باشد.
تیم توسعهدهنده ورمهول از طریق آدرس اتریوم هکر با او ارتباط برقرار کرده و پیشنهاد دادهاند سرمایه سرقتشده را برگردانند و به عنوان پاداش، ۱۰ میلیون دلار سرمایه مذکور را دریافت کنند.
تیم ورمهول گفته است:
ما تیم اجراکننده پل ورمهول هستیم. ما مطلع شدهایم که توانستهاید از ویژگی بررسی VAA سولانا استفاده کرده و به صدور توکن بپردازید. مایل هستیم به شما توافقنامهای پیشنهاد دهیم که طی آن، به ازای ارائه جزییات این اکسپلویت و برگرداندن توکنهای wETH که صادر کردهاید، ۱۰ میلیون دلار پاداش دریافت کنید. میتوانید از طریق contact@certus.one با ما در ارتباط باشید.
در حال حاضر، توکنهای wETH که به سراسر این پل ارسال شدهاند قابل بازخرید نیستند و تیم توسعهدهنده ورمهول در صدد اصلاح این باگ است.
این دومین هک قراردادهای هوشمند پل ارتباطی در طول یک هفته اخیر است. در تاریخ ۲۸ ژانویه (۸ بهمن) پل QBridge با هک ۸۰ میلیون دلاری در BSC مواجه شده است. این موضوع یادآور هک پلی نتورک (Poly Network) در ماه آگوست سال گذشته است که طی آن، ۶۱۰ میلیون دلار رمزارز از این پلتفرم سرقت شد. در این هک، تقریبا تمام سرمایه سرقتشده توسط هکر کلاه سفید به QBridge برگردانده شد.
افزایش تعداد هک قراردادهای هوشمند در پلهای ارتباطی بیانگر هشدار ویتالیک بوترین در تاریخ ۷ ژانویه (۱۷ دی) است. وی اذعان داشته بود که این پلها، با محدودیتهای امنیتی اساسی مواجه هستند. هشدار بوترین در خصوص حملات ۵۱٪ بود، اما توصیههای او در زمان مناسبی بیان شده است. وی به آسیبپذیری کلی موجود در پلهایی اشاره کرده است که به ارسال توکن به بلاک چینهای لایه اول میپردازند.