Wormhole es un exchange distinto, permite hacer de puente entre distintas blockchains sin intermediarios ni entidades regulatorias, pero eso implica que toda la seguridad está de su lado. Eso falló.
El ataque se transformó en el cuarto mayor robo de cripto de la historia y el segundo para un servicio de DeFi.
El truco del hacker estuvo en la misma naturaleza de Wormhole que no hacía las validaciones correspondientes. Se “inventó” unos 120.000 tokens de ETH a partir de unos 0.1 ETH dentro de la red Solana, que es OTRA blockchain, pero lo que permitía Wormhole era empaquetar una en otra.
Ataque a Wormhole y minteo de 120.000 tokens
Aprovechando las posibilidades de pasar de un lado a otro pasó luego 93.750 ETH a la red de Ehtereum, como ya venían validadas erróneamente por Wormhole entraron sin problemas.
Aquí tienen un hilo en Twitter explicando paso a paso y en detalle técnico cómo se realizó. Es muy técnico pero muy bien explicado.
Alright. I figured out the Solana x Wormhole Bridge hack. ~300 million dollars worth of ETH drained out of the Wormhole Bridge on Ethereum. Here's how it happened.
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) February 3, 2022
Rápidamente el equipo de Wormhole empezó a cambiar funciones y arreglar el bug pero fue ahí cuando el hacker, posiblemente al ver los commits de código de la empresa, pasó lo generado a Ethereum y ahora posee una fortuna en sus manos.
El equipo de Wormhole le ofrece a este hacker unos 10 millones a cambio de todo lo “robado”, con este ataque las DeFi ya llevan perdidos 2.000 millones en ataques en muy poco tiempo de existencia, el apuro por entregar algo funcionando no va de la mano de la seguridad de los sistemas y todos tienen huecos explotables.
