Un trou de ver de 320 millions de dollars a été exploité par un pirate informatique – Blockchain

Temps de lecture: 2 minutes

  • Le piratage d’hier du protocole de pontage Wormhole était le résultat d’un exploit de code
  • Le hacker a fait croire à Wormhole que son monnayage en masse avec wETH avait été autorisé par les gardiens de la blockchain de Solana

  • 120 000 wETH d’une valeur de 320 millions de dollars ont été frappés, dont 93 750 sont retournés à la blockchain Ethereum

L’énorme attaque d’hier sur la plate-forme de pont Wormhole a exploité une lacune dans le code du protocole qui a permis à un pirate informatique de lui faire croire qu’il avait été autorisé à frapper 120 000 ETH enveloppés (wETH). Les détectives de la blockchain ont compris comment le pirate s’y était pris pour manipuler le contrat intelligent de Wormhole et ont publié leurs théories sur Twitter, tous arrivant à la même conclusion : le code de Wormhole n’était pas à la hauteur.

Vérification de signature exploitée par Wormhole Hacker

Les enquêtes ont révélé que l’attaquant avait réussi à tromper le contrat Wormhole en lui faisant croire qu’il avait l’autorisation des gardiens de la blockchain Solana pour frapper le wETH. Cela a été réalisé grâce à un “faux” programme système qui leur a permis de mentir sur le fait que le programme de vérification de signature a été exécuté, alors qu’en fait les signatures ne correspondaient pas du tout.

Le pirate a utilisé l’exploit pour frapper 120 000 wETH, en déplaçant 93 750 vers la blockchain Ethereum, probablement avant de le laver via Tornado cash ou un équivalent.
Immédiatement après le piratage, Wormhole a offert une prime de 10 millions de dollars à l’attaquant s’il retournait le wETH, une offre qui n’a pas encore été acceptée 18 heures plus tard.

En vérité, accepter 10 millions de dollars alors que vous pourriez simplement blanchir 230 millions de dollars de wETH n’est guère une proposition tentante.

Vitalik Buterin a mis en garde contre les protocoles de transition

Le piratage survient quelques semaines seulement après que le créateur d’Ethereum, Vitalik Buterin, a averti sur un Reddit AMA de la sécurité des protocoles de pontage :

Les limites de sécurité fondamentales des ponts sont en fait une raison clé pour laquelle, bien que je sois optimiste quant à un écosystème de blockchain multi-chaînes (il y a vraiment quelques communautés distinctes avec des valeurs différentes et il vaut mieux qu’elles vivent séparément que toutes se disputent l’influence sur le même chose), je suis pessimiste quant aux applications inter-chaînes.

Malheureusement, Buterin a été prouvé à travers l’un des plus grands hacks DeFi de tous les temps.

Une chaîne de blocs est le livre de compte public ou le listing de toutes les ventes en crypto-monnaie. Les blocs complétés, composés des dernières ventes, sont enregistrés et ajoutés à la chaîne de bloc. Ils sont stockés par ordre chronologique comme livre de compte non fermé, permanent et vérifiable. Un réseau peer-to-peer composé de participants à ce marché gère les blockchains et ils suivent toute une série de protocole pour valider les nouveaux blocs. Chaque ‘node’ ou ordinateur avec application au réseau télécharge automatiquement une copie de la chaîne de blocs. Cela permet à tous de suivre les contrats de vente sans la nécessité de tenir un registre centralisé.

Laisser un commentaire