作者caryyrac (狹山樁江古田蓮荻生響)
看板DigiCurrency
標題[新聞] Solana出大事!跨鏈橋Wormhole遭駭3.2億
時間Thu Feb 3 19:53:32 2022
新聞來源連結:
https://www.blocktempo.com/wormhole-hit-with-a-320-million-hack/
新聞本文:
Solana出大事!跨鏈橋Wormhole遭駭3.2億鎂WETH,官方提供駭客「1000萬鎂獎金」籲其
歸還
連接 Solana 和其他區塊鏈的跨鏈協議 Wormhole 在 3 日遭遇駭客攻擊,根據
Wormhole 官方公告,高達 12 萬顆 WETH 被盜,以以太幣(ETH)現價 2,670 美元換算
,相當於約 3.2 億美元。
目前相關漏洞已修復, Wormhole 官方也已承諾會在幾小時後補回 12 萬顆 ETH,以確保
WETH : ETH 得到 1:1 的支撐。
Wormhole 官方最先是在 3 日凌晨 4 時 42 分宣布遭遇駭客攻擊:
在我們調查潛在漏洞的同時, wormhole 因維護而停機。
我們將在獲得更新資訊後,立即在此提供更新。
感謝您的耐心等待。
到了 3 日凌晨 6 時 25 分,Wormhole 官方首度披露被盜金額,遠超出社群原先估計的
數萬顆 ETH:
Wormhole 網路遭遇漏洞攻擊,12 萬顆 wETH 被盜, ETH 將在接下來的幾個小時內添加
,以確保 wETH 得到 1:1 的支持,更多細節很快就會釋出,我們正在努力讓網路快速恢
復,感謝您的耐心。
案發後 4 小時(3 日上午 8 時 41 分),Wormhole 官方終於在推特宣布已修復漏洞、
正努力恢復網路。
經開發者 @samczsun、@gf_256及@ret2jazzy重新循線測試駭客攻擊手法,確認漏洞確實
已成功修復。
被盜資金流向
Etherscan 數據顯示,攻擊者已將 93700 顆 wETH 兌換為 ETH 回到以太坊網路,其餘
wETH 則被用於兌換成 USDC、SOL 與其他山寨幣。
值得注意的是,Wormhole 官方在 3 日清晨 4 時發送給駭客的一筆交易中,附上了一則
訊息,呼籲駭客歸還被盜資金,並承諾此舉將能換取 1000 萬美元的賞金以及一份「白帽
合約」,這意味著 Wormhole 將不會對攻擊者提起任何刑事訴訟。
Wormhole 官方在訊息中表示:
這裡是 Wormhole 開發者:
我們注意到您利用了 Solana VAA 驗證和鑄造代幣的漏洞,我們願意為您提供一份白帽協
議,並向您提供 1000 萬美元的發現漏洞賞金,用於獲取漏洞細節,並返還您的 wETH,
您可以通過
[email protected] 與我們聯繫。
這名駭客的作為已為 DeFi 領域拉響警鐘。區塊鏈分析公司 Elliptic 共同創辦人 Tom
Robinson 向《彭博》表示,這再次證明,DeFi 服務的安全性尚未達到適合儲存巨額資金
的水平,區塊鏈的透明度,允許攻擊者識別和利用主要漏洞。
有先見之明的是,根據動區日前報導,以太坊共同創辦人布特林(Vitalik Buterin)曾
在今年 1 月於 Reddit 撰文指出,未來將是「多鏈」、不會是「跨鏈」,因為跨域多個
「主權區域」的各個橋,都存在著基礎層面上的安全限制。
評論:
難怪我覺得SOL今天好像跌的比其他主流貨幣要重,原來(ry
白帽合約? 這是? Wormhole官方要該駭客當他們的白帽顧問?
說真的我不知道怎麼用跨鏈橋,資產在交易所中就已會自動跨鏈了吧
比如把A交易所的USDT用TRC20入到B交易所後,再從B交易所用ERC20提到C交易所
這樣的話不就跨鏈了?
WETH的"W"是Wrapped的縮寫嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.147.31.95 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1643889215.A.A57.html
→ caryyrac: 挖 發完文才發現我op了 我用/Solana沒搜到相關發文 02/03 19:55
→ caryyrac: 忘了/Wormhole了 02/03 19:55
推 doom3: 人家3億到手 你出一千萬要回來== 02/03 20:00
?
※ 編輯: caryyrac (122.147.31.95 臺灣), 02/03/2022 20:02:58
推 lnonai: 一千萬換不會被抓還可以啊吧 02/03 20:03
原來3樓是在說那個駭客
就讓駭客自行評估被抓到的風險高不高囉
※ 編輯: caryyrac (122.147.31.95 臺灣), 02/03/2022 20:13:33
推 Rasin: 媽的害我被斷頭幹 02/03 20:21
→ cp296633: 很好奇如果駭客把盜來的eth轉到銷毀地址(0x000……)會 02/03 20:23
→ cp296633: 怎樣XD 02/03 20:23
長知識了
原來還有銷毀地址這東西
那cake與幣安官方也是用同樣方式銷毀cake與bnb嗎
→ cp296633: defi跨鏈項目tvl最高費用最低的是multichian(原anyswap 02/03 20:29
→ cp296633: ) 有七十幾億 還不錯用 02/03 20:29
推 mithuang: SBR之前一堆Wormhole轉過來的有的沒的幣年化很高,還好 02/03 20:31
→ mithuang: 有忍住 02/03 20:31
推 MACD: 銷毀了wormhole 就解套了啊 02/03 20:42
※ 編輯: caryyrac (122.147.31.95 臺灣), 02/03/2022 20:43:33
※ 編輯: caryyrac (122.147.31.95 臺灣), 02/03/2022 20:44:48
→ cp296633: 我是說把盜來的原生eth轉去黑洞地址啦 02/03 20:47
推 wlsh5701: 不sol控制 02/03 21:00
推 bluefancy: 每月任務 1/1 02/03 21:07
推 qwe50120: 銷毀地址基本上就是共識用哪個,你算的出銷毀地址的私鑰 02/03 23:07
→ qwe50120: 你就可以拿到以前銷毀的錢 02/03 23:07
推 memx: sol真是垃圾 02/03 23:07
→ DarkerDuck: token要銷毀的直接用burn function即可 02/04 00:59
→ DarkerDuck: 區塊鏈的主幣則要使用黑洞地址才能夠看起來被銷毀 02/04 01:00
推 ZakuSIN: 區塊鏈被盜就沒有法律效益 要那白帽合約幹啥... 02/04 01:09
推 Rasin: 有吧 不然你去偷人家的乙太幣看會不會被告阿 02/04 01:20
推 jack79820: 如果駭客如實接受提議歸還之後 會不會又被告啊 02/04 01:52
推 Orisinal: 應該不會 能用一千萬去彌補三億損失已經很賺了 02/04 02:53
→ Orisinal: 再說如果沒發現漏洞 遲早也會被利用 02/04 02:53
推 lrm549: 別怕 他們的爸爸很有錢 02/04 09:46
→ lrm549: 爸爸出錢給兒子讓兒子繼續幹 02/04 09:46
推 shortoneal: 敢告就祈禱你的項目沒其他漏洞了 02/04 12:29