加密货币平台Wormhole被黑掉3.25亿美元！

信息来源：归零者发布日期：2022-02-05 主题标签：加密货币 ETH wETH Wormhole 黑客 GitHub

插图作者：Alex Castro / The Verge

周三，去中心化金融（DeFi）平台Wormhole（虫洞）成为今年最大的加密货币盗窃案的受害者，也是有史以来五大加密黑客入侵之一：攻击者利用安全漏洞获得了近3.25亿美元。

这次攻击似乎是由于最近对该项目的GitHub存储库进行了更新，该更新主要是对尚未正式部署的项目进行错误修复。

该攻击发生在2月2日，当天Wormhole的Twitter账户宣布该平台将"关闭以进行维护"，以便调查一个潜在的安全漏洞。Wormhole后来的一篇文章证实了黑客攻击事件和被盗加密货币的数量。

Wormhole网络被攻击者利用安全漏洞获得了120k wETH。
我们在接下来的几个小时内将增加ETH供给量，以确保数量与wETH达到1:1。更多详情请关注后续。
我们正努力尽快恢复网络。感谢您的耐心等待。
— Wormhole（@wormholecrypto） 2022年2月2日

攻击发生后不久，Wormhole团队还向黑客提供了1000万美元的赏金，以退还利用漏洞获得的资金，这些资金以文本形式嵌入到发送给攻击者以太坊钱包地址的交易中。

以太坊交易数据向Wormhole攻击者显示一条消息，提供1000万美元的赏金

Wormhole提供了一种类似“桥梁”的区块链平台间服务，本质上是一种托管系统，允许存入一种类型的加密货币，以便在另一种加密货币中创建资产。这允许持有一种加密货币的个人或实体使用另一种加密货币进行交易和购买，有点像能够以美元为银行账户提供资金，然后使用银行卡购买以欧元计价的东西。

Wormhole

为了进行攻击，攻击者设法伪造了一笔交易的有效签名，该交易允许他们自由铸造120,000 wETH - 一种Solana区块链上的ETH“包装”等价物（译者注1），在盗窃时的价值相当于3.25亿美元。然后，这些wETH被交换了大约2.5亿美元的以太坊，这些资金从Wormhole发送到黑客的账户，有效地清算了该平台的大量以太坊资金，这些资金被作为Solana区块链交易的抵押品。

开源代码提交记录表明，本可以修复此漏洞的代码早在1月13日就已编写，但在攻击当天才上传到Wormhole GitHub存储库（译者注2）。上传后几个小时，该漏洞就被黑客利用，这表明更新代码尚未应用于生产应用程序。

正如软件开发人员Matthew Garrett在Twitter上观察到的那样，本次更新代码上传被描述为一个普通的版本更新，但实际上包含了广泛的代码修补，这一事实可能会让攻击者意识到这是一个伪装的普通安全修复程序，进而极大增加了对攻击可能带来高额价值的兴趣。

通过Wormhole Github页面提供的另一个文件也详细介绍了安全研究公司Neodyme在2021年7月至9月期间进行的安全审计。目前尚不清楚该漏洞在审计期间是否存在，Neodyme没有回应置评请求。

由于跨链应用程序的性质，攻击造成Wormhole平台中包装以太坊(wETH)和常规以太坊(ETH)的数量之间留下了巨大的赤字，这好像支持贷款的抵押资产突然消失了。据《福布斯》报道，这次攻击导致Solana加密货币在黑客攻击后的价值下降了10%。

Wormhole团队宣布，将向平台增加更多的以太坊，以取代被盗的抵押资金，这实际上意味着该公司将需要找到3.25亿美元的资产来填补缺口。（译者注3）

现阶段，尚不清楚这些缺口资金将如何筹集，而发给Wormhole母公司Jump Crypto的相关问题在发布时尚未收到任何回复。

译者注1：“包装”ETH，英文名：“wrapped” Ethereum。ETH是在以太坊区块链上构建的原生货币，在ETH发布后诞生了ERC-20标准，所以ETH并不支持ERC-20，此标准定义了代币的转移方式以及如何在以太坊网络中的各种代币之间保持这些转移的一致记录。而要满足这个标准以便自由使用各种代币，便出现了wETH，它并不产生新的价值，只是一个转换的桥梁。wETH官网
译者注2：GitHub是全球最大的代码托管平台，有数千万开发者正在使用，大量优质开源项目托管其中。中文支持社区，使用者评价
译者注3：此次黑客事件造成了区块链加密货币平台Wormhole的巨额损失，这些损失并不能转嫁到货币持有者身上，但可能会加剧人们对加密货币及交易平台安全性的担忧：这玩意儿真的比ZFB更安全吗？在去中心化、共识机制和可追溯等牛拜光环属性加持带来的初期高潮过后，人们终究将回归货币的本质需求：绝对安全！
最后讲个故事：抠门而潦倒的阿B为了买个LV包（入门级）博妹子欢心，被迫在典当行里质押了最后一块祖传玉佩。但在赎回期内，典当行突然跟阿B说：“不好意思，我们遭到了洗劫，您的祖传玉佩没了！”五雷轰顶！阿B历经千辛万苦，最终通过法律手段争取了相应赔偿，但祸不单行，妹子跑了。。。
尝鲜有风险，撩妹需谨慎！