Хакеры эксплуатировали уязвимость в функции verify_signatures криптовалютной платформы.
Криптовалютная платформа Wormhole восстановила средства, украденные в результате недавнего взлома . Возместить похищенную криптовалюту помог отраслевый партнер Jump Crypto.
Будучи межсетевой криптоплатформой, Wormhole позволяет пользователям передавать криптовалюту через различные блокчейны, такие как Ethereum, Solana и Binance Smart Chain. Платформа блокирует исходный токен в смарт-контракте, а затем создает «обернутую» версию сохраненного токена, которую можно перенести в другую цепочку блоков.
2 февраля Wormhole объявила о временном отключении своей криптоплатформы на время расследования уязвимости в своей сети. В тот же день компания подтвердила, что сеть Wormhole действительно была использована для хищения 120 тыс. «обернутых» Ethereum (wETH). Руководство платформы предложило злоумышленникам награду в размере $10 млн за возвращение украденных средств. Попытка договориться не увенчалась успехом, но платформа вернула себе средства с помощью отраслевого партнера Jump Crypto, входящего в Jump Trading Group.
Wormhole пока не предоставила подробную информацию о том, как злоумышленникам удалось украсть средства или о характере уязвимости. Как показали результаты анализа незаконных транзакций, проведенного исследователем криптовалютной безопасности под псевдонимом Samczsun , Wormhole не проверяла должным образом входные учетные записи на своей платформе. Это позволило злоумышленникам подделать подписи и создать 120 тыс. ETH в блокчейне Solana из воздуха.
Samczsun указал на уязвимость в функции verify_signatures, которая предназначена для сбора подписей и упаковывания их в SignatureSet. По словам эксперта, функция не провела ни одной такой проверки.
Еще один исследователь, использующий псевдоним smartcontracts , проанализировал историю коммитов GitHub для проекта с открытым исходным кодом Wormhole. Как обнаружил эксперт, изменения кода, предположительно исправляющие ошибку, были отправлены в репозиторий примерно за девять часов до взлома.
Общедоступная информация об ожидающих обновлениях безопасности или устаревших зависимостях, которые еще предстоит исправить (например, через запрос на вытягивание GitHub), может предупредить зорких злоумышленников и помочь им эксплуатировать проблемы до выпуска патча.
Запрос на обновление версии платформы Solana был открыт с 13 января, но фактические изменения исходного кода в GitHub произошли 1 февраля — за несколько часов до атаки на компьютерные системы.
Источник: securitylab