Am Mittwoch wurde die dezentralisierte Finanzplattform (DeFi) Wormhole Opfer des größten Kryptowährungsdiebstahls in diesem Jahr – und unter den fünf größten Krypto-Hacks aller Zeiten – als ein Hacker eine Sicherheitslücke ausnutzte, um sich mit fast 325 Millionen US-Dollar davonzumachen.
Der Angriff scheint auf ein kürzlich erfolgtes Update des GitHub-Repository des Projekts zurückzuführen zu sein, das eine Korrektur eines Fehlers offenbarte, der noch nicht im Projekt selbst bereitgestellt wurde.
Der Angriff fand am 2. Februar statt und wurde bemerkt, als ein Beitrag des Twitter-Accounts von Wormhole bekannt gab, dass das Netzwerk „zu Wartungszwecken heruntergefahren“ wurde, während ein potenzieller Exploit untersucht wurde. Ein späterer Post von Wormhole bestätigte den Hack und die gestohlene Menge.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
Kurz nach dem Angriff bot das Wormhole-Team dem Hacker außerdem ein Kopfgeld in Höhe von 10 Millionen US-Dollar für die Rückgabe des Geldes an, das als Text in eine Transaktion eingebettet war, die an die Ethereum-Wallet-Adresse des Angreifers gesendet wurde.
Wormhole bietet einen Dienst an, der als „Brücke“ zwischen Blockchains bekannt ist, im Wesentlichen ein Treuhandsystem, mit dem eine Art von Kryptowährung hinterlegt werden kann, um Vermögenswerte in einer anderen Kryptowährung zu erstellen. Dies ermöglicht es einer Person oder einem Unternehmen mit Beständen in einer Kryptowährung, mit einer anderen zu handeln und Einkäufe zu tätigen, ähnlich wie die Möglichkeit, ein Bankkonto in Dollar zu finanzieren und dann eine Bankkarte zu verwenden, um etwas zu einem Preis in Euro zu kaufen.
Um den Angriff durchzuführen, gelang es dem Angreifer, eine gültige Signatur für eine Transaktion zu fälschen, die es ihm ermöglichte, 120.000 wETH frei zu prägen – ein „verpacktes“ Ethereum-Äquivalent auf der Solana-Blockchain mit einem Wert von 325 Millionen US-Dollar zum Zeitpunkt des Diebstahls – ohne vorher einen entsprechenden Betrag einzugeben. Diese wurden dann gegen rund 250 Millionen US-Dollar in Ethereum eingetauscht, die von Wormhole auf das Konto der Hacker geschickt wurden, wodurch ein großer Teil der Ethereum-Gelder der Plattform, die als Sicherheit für Transaktionen auf der Solana-Blockchain gehalten wurden, effektiv liquidiert wurde.
Open-Source-Code-Commits zeigen, dass Code, der diese Schwachstelle behoben hätte, bereits am 13. Januar geschrieben und am Tag des Angriffs in das Wormhole GitHub-Repository hochgeladen wurde. Nur wenige Stunden später wurde die Schwachstelle vom Hacker ausgenutzt, was darauf hindeutet, dass die Updates noch nicht auf die Produktionsanwendung angewendet wurden.
Wie Softwareentwickler Matthew Garrett auf Twitter feststellte, wurde der Code-Upload so beschrieben, als handele es sich um ein 08/15-Versionsupdate, enthielt aber tatsächlich umfangreiche Änderungen – eine Tatsache, die den Angreifer darauf hätte hinweisen können, dass es sich um ein getarnter Sicherheitsfix.
Eine weitere Datei, die über die Wormhole-Github-Seite verfügbar ist, beschreibt auch ein Sicherheitsaudit, das vom Sicherheitsforschungsunternehmen Neodyme zwischen Juli und September 2021 durchgeführt wurde. Es ist nicht klar, ob die Schwachstelle während des Auditzeitraums vorhanden war, und Neodyme hat auf eine Bitte um Stellungnahme nicht geantwortet.
Aufgrund der Art von Cross-Chain-Anwendungen hinterließ der Angriff vorübergehend ein riesiges Defizit zwischen der Menge an verpacktem Ethereum und dem regulären Ethereum, das in der Wormhole-Bridge gehalten wird – als ob der als Sicherheit hinterlegte Vermögenswert plötzlich verschwunden wäre. Laut Forbes verursachte der Angriff nach dem Hack einen 10-prozentigen Wertverlust der Solana-Kryptowährung.
Das Wormhole-Team hat angekündigt, dass mehr Ethereum zur Brücke hinzugefügt wird, um die gestohlenen Sicherheitenfonds zu ersetzen, was effektiv bedeutet, dass das Unternehmen Vermögenswerte in Höhe von 325 Millionen Dollar finden muss, um die Lücke zu schließen.
Woher die Mittel kommen sollen, ist derzeit noch unklar. Fragen, die an Jump Crypto, die Muttergesellschaft der Entwickler der Wormhole-Anwendung, gesendet wurden, hatten zum Zeitpunkt der Veröffentlichung keine Antwort erhalten.