Wormhole, een protocol waarmee gebruikers hun tokens en NFT’s kunnen verplaatsen tussen het netwerk van Solana en Ethereum, heeft bevestigd dat het te maken heeft gehad met een exploit van 120.000 ‘wrapped’ Ethereum (ETH), ter waarde van meer dan $320 miljoen.
Eerder op woensdag, merkte een bericht op Twitter van Wormhole op dat het netwerk “onderbroken was voor onderhoud” als gevolg van een “potentiële exploit”. Een bericht op de Ethereum blockchain, naar verluidt van Wormhole, stelt:
“We hebben gemerkt dat je in staat was om de Solana VAA verificatie uit te buiten en tokens aan te maken. We willen je graag een whitehat overeenkomst aanbieden en je een bug bounty van $10 miljoen geven voor de details van de exploit en het teruggeven van de wETH die je aangemaakt hebt.”
VAA staat voor ‘validator action approval’ en verwijst naar het proces waarbij transacties worden goedgekeurd.
De boodschap betekent dat Wormhole er met een knipoog van uitgaat dat de hacker te goeder trouw heeft gehandeld. In ruil daarvoor geeft het ze $10 miljoen voor het aanwijzen van de kwetsbaarheid in het protocol. Maar het wil zijn $320 miljard terug.
basically a low level bug in Solana failed to include a safety check, allowing someone to mint some ETH on the Solana side and then transfer it over to Ethereum
— Evan Van Ness 🐬 (@evan_van_ness) February 3, 2022
Solana was going to patch this bug, but the attacker got there firsthttps://t.co/iQHx0CxGBM
Naast het verbinden van Ethereum en Solana, werkt Wormhole ook met Avalanche, Binance Smart Chain, Oasis, Polygon en Terra. Het stelt gebruikers van een blockchainnetwerk in staat om activa te “verpakken” en ze te gebruiken op een ander netwerk, vaak zodat ze kunnen profiteren van lagere transactiekosten of verschillende toepassingen over netwerken heen.
Maar om hun ETH op Solana te krijgen, moeten ze het eerst vastzetten in een smart contract en dan een gelijkwaardig bedrag in wrapped ETH krijgen. Vervolgens kunnen ze wETH inruilen voor op Solana (SOL) gebaseerde tokens.
Volgens berichtgeving was de hacker dus in staat om dit te omzeilen en wETH aan te maken (minting) zonder ETH vast te zetten.
