Gần đây, một hacker đã kiếm được số tiền điện tử trị giá khoảng 300 triệu đô la Mỹ (~ RM1,25 tỷ), sau khi hack thành công vào cổng tiền điện tử, Wormhole. Tổng cộng, hacker đã đánh cắp gần 120000 wETH, token có thể trao đổi 1-1 với Ethereum, khiến nó trở thành vụ cướp tiền điện tử lớn thứ tư mọi thời đại. Wormhole xác nhận rằng nó đã bị hack, cùng với số tiền bị đánh cắp.
Là một bản tóm tắt nhanh, Wormhole là một mạng tiền điện tử cho phép người dùng chuyển tiền điện tử của họ giữa nhiều loại tiền điện tử và chuỗi khối, bao gồm Ethereum, Solana và Terra. Về cách thức hoạt động, về cơ bản, nền tảng này sẽ đưa mã thông báo của người dùng vào một hợp đồng thông minh trong chuỗi khởi hành, sau đó là tạo mã thông báo “được bọc trong lỗ sâu đục” trên chuỗi đích. Từ đó, mã thông báo có thể được trao đổi lấy mã thông báo gốc trên chuỗi đích.
Mạng wormhole đã được khai thác với giá 120 nghìn wETH.
ETH sẽ được thêm vào trong những giờ tới để đảm bảo wETH được hỗ trợ 1:1. Thêm chi tiết sẽ đến trong thời gian ngắn.
Chúng tôi đang nỗ lực để mạng hoạt động trở lại nhanh chóng. Cảm ơn sự kiên nhẫn của bạn.
— Wormhole🌪 (@wormholecrypto) Tháng hai 22022
Quá trình phức tạp này cũng là cách mà tin tặc tìm cách tẩu thoát với 120000 đơn vị wETH. Theo PC Gamer, hacker đã khai thác lỗ hổng trong quá trình đúc và gói, nhưng cụ thể hơn, chúng đã tìm cách đúc các đồng tiền được gói trên mạng mà chúng không phải chuyển, trong trường hợp này là mạng Solana và tiền điện tử. SOL. Một điểm quan trọng không kém cần lưu ý ở đây là, trong khi hack mạng, hacker phải đảm bảo rằng giá trị giữa các token được bao bọc bị đánh cắp và giá trị của các blockchain duy trì ở mức nhất định. 1:1 giá trị. Nếu không, họ có nguy cơ mất tiền trong quá trình chuyển tiền.
Cuộc điều tra bên trong cầu Wormhole
Kẻ tấn công đã gọi lệnh Complete_wrapped với các đầu vào giả mạo `ctx`, `accs` và `data`
Lệnh này không thực hiện xác minh đầy đủ về tính chính xác của `ctx`, `accs` và `data` đầu vào. pic.twitter.com/IQAEqvphBO
– Bảng xếp hạng bảo mật CertiK (@CertiKCommunity) Tháng hai 32022
Tại thời điểm viết bài, số tiền bị đánh cắp được cho là đã được chia nhỏ và trao đổi, với khoảng 93000 token được đúc đã được đổi lấy Ethereum. Ngoài ra, Jump Crypto, chi nhánh tiền điện tử của Jump Trading, cũng nhảy vào giúp đỡ Wormhole bằng cách thay thế tiền điện tử bị đánh cắp.
Nếu bạn muốn tìm hiểu cách hacker khai thác bảo mật của Wormhole, các chuyên gia bảo mật tại Certik đã đăng bản phân tích từng bước của quy trình thông qua trang chính thức của họ. Twitter tài khoản. Vì vậy, bạn có thể kiểm tra nếu bạn quan tâm.
(Nguồn: Game thủ PC, Reuters, Twitter [1] [2])
