Le pont de jetons entre Ethereum et Solana a vu 120 000 jetons wETH retirés de la plate-forme et répartis entre les portefeuilles Solana et ETH du pirate.

Le pont de jetons Wormhole a connu un exploit de sécurité aujourd’hui, entraînant la perte de 120 000 jetons wETH (321 millions de dollars) de la plate-forme.

Wormhole est un pont à jetons qui permet aux utilisateurs d’envoyer et de recevoir des cryptos entre Ethereum, Solana, BSC, Polygon, Avalanche, Oasis et Terra sans l’utilisation d’un échange centralisé (CEX). Il s’agit du plus grand piratage crypto de 2022 à ce jour et du deuxième plus grand piratage DeFi à ce jour. L’équipe de Wormhole a offert une prime de bogue de 10 millions de dollars pour le retour des fonds.

Le piratage a eu lieu du côté Solana du pont et on craint que le pont de Wormhole vers Terra ne soit tout aussi vulnérable.

L’équipe de Wormhole a assuré à la communauté que son approvisionnement en ETH serait reconstitué pour « s’assurer que wETH est soutenu 1: 1 », mais on ne sait pas encore d’où proviendront ces fonds ni quand.

Le réseau de trous de ver a été exploité pour 120k wETH. ETH sera ajouté au cours des prochaines heures pour garantir que wETH est soutenu 1: 1. Plus de détails à venir sous peu. Nous nous efforçons de rétablir rapidement le réseau. Merci pour votre patience. – Trou de ver (@wormholecrypto) 2 février 2022

Le piratage a eu lieu à 18 h 24 UTC le 2 février. L’attaquant a frappé 120 000 wETH (WETH) sur Solana, puis a échangé 93 750 WETH contre ETH d’une valeur de 254 millions de dollars sur le réseau Ethereum à 18 h 28 UTC. Le pirate a depuis utilisé des fonds pour acheter SportX (SX), Meta Capital (MCAP), Enfin Usable Crypto Karma (FUCK) et Bored Ape Yacht Club Token (APE).

Le WETH restant a été échangé contre SOL et USDC sur Solana. Le portefeuille Solana du pirate contient actuellement 432 662 SOL (44 millions de dollars).

Aucun autre actif ou chaîne desservi par Wormhole n’a été signalé comme étant affecté, mais la société d’audit de contrats intelligents Certik a déclaré aujourd’hui dans un rapport qu' »il est possible que le pont de Wormhole vers la blockchain Terra partage la même vulnérabilité que leur pont Solana ».

L’équipe de Wormhole a contacté le pirate via son adresse Ethereum pour lui proposer de laisser le pirate conserver 10 millions de dollars de fonds volés si les fonds restants sont restitués.

« C’est le Wormhole Deployer : nous avons remarqué que vous pouviez exploiter la vérification Solana VAA et les jetons de menthe. Nous aimerions vous proposer un accord whitehat et vous présenter une prime de bogue de 10 millions de dollars pour les détails de l’exploit et vous rendre le wETH que vous avez créé. Vous pouvez nous joindre au [email protected]”

Au moment de la rédaction de cet article, les jetons wETH envoyés sur le pont ne sont pas encore échangeables pendant que l’équipe de Wormhole tente de corriger l’exploit.

Il s’agit du deuxième exploit de contrat intelligent sur un pont symbolique en une semaine. Le 28 janvier, QBridge de Qubit Finance a été exploité pour 80 millions de dollars sur BSC. Cela rappelle également le piratage de Poly Network en août dernier, dans lequel 610 millions de dollars en crypto ont été volés sur la plate-forme. Dans ce cas, presque tous les fonds ont été restitués par le pirate informatique.

La fréquence des hacks de contrats intelligents sur les ponts de jetons sert à valider l’avertissement de Vitalik Buterin du 7 janvier selon lequel il existe des «limites de sécurité fondamentales des ponts». L’avertissement du co-fondateur d’Ethereum s’inscrivait dans le contexte d’une attaque à 51% contre Ethereum, mais son conseil était opportun car il a souligné la vulnérabilité générale apparente sur les ponts qui envoient des jetons à travers les blockchains de couche 1.