Plataforma de criptomonedas restauró $326 millones que le robaron recientemente
La plataforma de criptomonedas Wormhole restauró más de 326 millones de dólares robados recientemente. Esta enorme cantidad fue robada a la plataforma de criptomonedas esta semana.
Al ser una plataforma de criptomonedas de cadena cruzada, Wormhole permite a los usuarios transferir criptomonedas a través de diferentes cadenas de bloques. Por ejemplo, Ethereum, Solana y Binance Smart Chain, entre otras.
La plataforma funciona bloqueando el token original en un contrato inteligente y luego usando una versión “envuelta” del token almacenado que se puede transferir a otra cadena de bloques.
Wormhole rescatada por firma de capital de riesgo
Wormhole anunció una recuperación exitosa de todos los fondos robados en el hackeo de $326 millones de esta semana; la plataforma de criptomonedas está respaldada.
Compartiendo una línea de tiempo del incidente, la compañía brindó un informe detallado del incidente:
El 2 de febrero, Wormhole había anunciado el cierre temporal de su plataforma de criptomonedas mientras investigaba un incidente en su red.
El mismo día, la compañía confirmó que la red de Wormhole había sido vulnerada. y que estaban trabajando para restaurar los fondos perdidos. Específicamente, la empresa perdió 120,000 Ethereums envueltos (wETH).
La compañía de análisis Blockchain, Elliptic, había revelado previamente que Wormhole intentó ofrecer al atacante una recompensa por errores de $10 millones, en caso de que este último aceptara devolver los fondos robados. Pero el esfuerzo no llegó a buen término, con más de $265 millones en ETH que aún quedaban en la billetera del atacante.
Ahora bien, la compañía ha restaurado el Ethereum perdido, los fondos no aparecieron de la nada.
El rescate de Wormhole de esta pérdida fue posible gracias al socio de la industria, Jump Crypto, parte de Jump Trading Group. Jump Trading Group también es propietario de la empresa de capital de riesgo (VC), Jump Capital.
“[Jump Crypto] cree en un futuro multicadena y que [Wormhole] es una infraestructura esencial. Es por eso que restauramos 120k ETH para que los miembros de la comunidad estén confiados y apoyen a Wormhole ahora que continúa desarrollándose”.
¿Vulnerabilidad escondida a plena vista?
Wormhole aún no ha proporcionado mucha información sobre cómo los atacantes lograron robar los fondos. Tampoco ha explicado el contexto de la explotación de la vulnerabilidad.
El análisis de transacciones ilícitas realizado por el renombrado investigador de seguridad de criptomonedas Samczsun reveló que Wormhole no estaba validando correctamente todas las cuentas en su plataforma.
Esto permitió a los atacantes falsificar firmas de “guardianes” y acuñar 120,000 ETH en la cadena de bloques de Solana de la nada. De estos fondos, los atacantes pudieron enviar 93,750 de regreso a Ethereum.
Samczsun señaló específicamente que la falla existía en la función ‘verify_signatures
‘. Esta función está diseñada para “tomar un conjunto de firmas proporcionadas por los guardianes y empaquetarlas en un ‘SignatureSet'
“. Pero, explica el investigador, la función no realizaba ninguna de las comprobaciones de verificación.
Otro investigador de contratos inteligentes analizó el historial de confirmaciones de GitHub para el proyecto de código abierto Wormhole. Él reveló que los cambios en el código que supuestamente corrigieron el error se enviaron al repositorio unas nueve horas antes de que ocurriera el ataque:
“Es posible que un atacante estuviera vigilando el repositorio y buscando confirmaciones sospechosas”, dice el investigador.
Parche fortuito
Curiosamente, los contratos inteligentes también concluyen que el cambio de código no fue un parche de error deliberado. Probablemente fue implementado sin que los desarrolladores de Wormhole se dieran cuenta. Quizás ellos buscaban simplemente aumentar su versión de dependencia de Solana .
El conocimiento público de las actualizaciones de seguridad pendientes o las dependencias obsoletas que aún deben reemplazarse (por ejemplo, a través de una solicitud de extracción de GitHub) puede alertar a los adversarios perspicaces, lo que lleva a la explotación de estas vulnerabilidades antes de que se parcheen.
En el caso de Wormhole, la solicitud de extracción para actualizar la versión Solana de la plataforma estaba abierta desde el 13 de enero. Sin embargo, los cambios reales en el código fuente de GitHub tuvieron lugar el 1 de febrero, horas antes del ataque a los sistemas de producción.
En los últimos tiempos, los exchanges de criptomonedas y los protocolos DeFi se han convertido en objetivos populares de los ciberdelincuentes.
El mes pasado, el exchange de criptomonedas Crypto.com sufrió un hackeo de $34 millones en el que 483 de sus cuentas de clientes se vieron afectadas. El mismo mes, la plataforma DeFi Qubit Finance también enfrentó una pérdida de $80 millones por un ataque cibernético.