320 מיליון ד' נגנבו מפרויקט המגשר בין סולאנה ואתריום

האקרים ניצלו באג שהתגלה ברשת וורמהול, המגשרת בין רשתות סולאנה ואתריום, והצליחו לגנוב מטבעות אית'ר בשווי של למעלה מ-320 מיליון דולר
האקר

הפרוטוקול וורמהול (Wormhole) המשמש כגשר להעברת מטבעות דיגיטליים בין רשתות בלוקצ'יין שונות, נוצל אתמול (ד') על ידי האקרים אשר הצליחו לגנוב ממנו כ-120,000 מטבעות את'ר עטופים (WETH) בשווי של למעלה מ-320 מיליון דולר. 

מטבע עטוף הינו ייצוג של מטבע אחד על רשת אחרת לאחר שימוש בפרויקט מגשר. כלומר, כשמטבע ETH עטוף על רשת סולאנה, הוא ייקרא Wrapped Ethereum או בקיצור WETH.

הגשר שנוצל הינו הגשר בין רשת סולאנה ורשת אתריום כאמור. מלבד רשתות אתריום וסולאנה, הפרוטוקול של וורמהול עובד גם עם הרשתות אבלנש (AVAX), פוליגון (MATIC), טרה (LUNA), אואזיס (ROSE) והרשת החכמה של בינאנס (BSC).

בחשבון הטוויטר של וורמהול, הודיעו על הניצול שהתרחש, והוסיפו שהם מתכננים להחזיר מטבעות אית'ר (ETH) אל הפרוטוקול כדי לוודא שכל מטבע אית'ר עטוף (wrapped ETH או wETH) אכן מגובה ביחס של אחד לאחד. עם זאת, לא ברור מהיכן הם יספקו מטבעות בשווי מאות מיליוני דולרים.

בהודעה האחרונה שלהם, נכון לכתיבת שורות אלו, נכתב כי הפירצה תוקנה ושהם "עובדים להחזיר את הרשת לפעילות בהקדם האפשרי."

שיחות עם האקרים

תחילה, הצוות של וורמהול הודיע שהרשת הושבתה לצורך תחזוקה, כתוצאה מניצול פוטנציאלי. אך באותו הזמן כבר נחשפה הודעה ששודרה על גבי רשת אתריום, ככל הנראה על ידי צוות וורמהול, בה כתוב: "שמנו לב שהצלחת לנצל את אימות ה-VAA של סולאנה ולהנפיק מטבעות. אנחנו מעוניינים להציע לך הסכם כובע לבן, ולתת לך מענק של 10 מיליון דולר עבור פרטי הניצול, והחזרה של ה-wETH שהנפקת."

זו לא הפעם הראשונה שצוות המפתחים מתקשר עם האקר על גבי הבלוקצ'יין. גם בפריצה גדולה ברשת פולי בחודש אוגוסט, בה נגנבו תחילה מטבעות דיגיטליים בשווי של כ-600 מיליון דולר, ההאקר נכנס לשיחות בהודעות על גבי הבלוקצ'יין. 

לבסוף התברר שההאקר של רשת פולי היה האקר כובע לבן, אשר רצה לעזור לצוות לאבטח טוב יותר את הרשת ולהחזיר את הכספים, והוא אף סירב לקבל את המענק שהוצע לו. ההאקר טען שהוא חשד שיכול להיות שהפירצה הייתה עבודה מבפנים, והחליט לשמור את המטבעות הדיגיטליים בעצמו לפני שמישהו אחר יגנוב אותם. 

האקרים "בעלי כובע לבן" הם האקרים אשר משתמשים ביכולותיהם הטכניות למטרות חיוביות ומוסריות, ולא לצורך גנבת כספים.

גשרים ומטבעות עטופים

המטבעות שנגנבו היו למעשה ייצוג של מטבעות אית'ר (WETH) ברשת סולאנה, אשר נמשכו בהצלחה חזרה אל רשת אתריום בתור מטבעות ETH מקוריים. מטבע עטוף הוא ייצוג של מטבע מקורי ברשת חדשה, המאפשר לעבוד עם הערך של המטבע המקורי ברשת שונה ובכך להנות מהיתרונות שהרשת החדשה מציעה, כמו למשל חיסכון בעמלות. 

באמצעות מטבעות עטופים רשת וורמהול ורשתות רבות נוספות יוצרות גשרים בין בלוקצ'יינים נפרדים. המטבעות נשלחים מהרשת המקורית אל הפרוטוקול אשר אמור לנעול אותם ולייצר מטבע עטוף ברשת החדשה. באופן דומה, ניתן לשלוח חזרה את המטבעות העטופים אל הפרוטוקול כדי לשחרר את הנעילה של המטבעות ברשת המקורית.

במקרה הזה הבאג איפשר לייצר מטבעות עטופים ללא שליחה של מטבע מקורי לנעילה. בניצול של וורמהול, ככל הנראה הצליח התוקף להנפיק מטבעות עטופים יש מאין על גבי רשת סולאנה, ולאחר מכן לקבל אישור משיכה מהפרוטוקול עבור המטבעות העטופים (ללא גיבוי אמיתי). בצורה זו הצליח התוקף להשיג כ-120 אלף מטבעות אית'ר.

עפ"י הניתוחים הראשוניים של ניצול הפרצה, מדובר בחוסר אחריות עצום מצד מפתחי הפרויקט.

מייסד אתריום נגד גשרים בין בלוקצ'יינים

ויטליק בוטרין, מייסד רשת אתריום, כתב פוסט בתחילת חודש ינואר בו הוא מסביר מדוע לדעתו בעתיד יהיו רשתות בלוקצ'יין רבות, אך לא יהיו הצלבות – או גשרים – ביניהן. לדבריו, האבטחה של מטבעות דיגיטליים שלא על רשתות המקור שלהם הינה מוגבלת באופן בסיסי. 

ככל שיהיו יותר גשרים בין רשתות המצב רק יהפוך למסובך יותר ומאובטח פחות, כתב. מאחר והרשתות נפרדות, המטבעות העטופים יכולים שלא לייצג כראוי את נכס המקור במקרה של תקיפת הרשת המקורית. 

ככל שיהיו יותר מטבעות נעולים בפרוטוקולים מגשרים, כך המוטיבציה לתקוף את הרשתות תהיה גדולה יותר, "כך שלפעילות גישור בין רשתות יש אפקט רשת הפוך: כל עוד זה לא קורה הרבה, זה די בטוח, אבל ככל שזה קורה יותר, כך הסיכון עולה," כתב.

קבלו את העדכונים והחדשות הכי חמות מעולם הקריפטו ישירות למייל שלכם:

שתפו:

דאיה מורטי

דאיה מורטי

דאיה הינו מורה ויוצר תוכן בתחום הקריפטו, שאוהב לחקור את התופעות הפסיכולוגיות, החברתיות והכלכליות בתחום. בשנת 2013 כתב תוכן באתר 'אלף ביט', ומאז נהנה לצפות ולהשתתף בטרנספורמציה שהביטקוין מביא לעולם. בזמנו הפנוי הוא אוהב לתרגל יוגה ומדיטציה. בעל הבלוג Bitcoin4U. לבלוג: https://bitcoin4u.co.il/
דאיה מורטי

דאיה מורטי

דאיה הינו מורה ויוצר תוכן בתחום הקריפטו, שאוהב לחקור את התופעות הפסיכולוגיות, החברתיות והכלכליות בתחום. בשנת 2013 כתב תוכן באתר 'אלף ביט', ומאז נהנה לצפות ולהשתתף בטרנספורמציה שהביטקוין מביא לעולם. בזמנו הפנוי הוא אוהב לתרגל יוגה ומדיטציה. בעל הבלוג Bitcoin4U. לבלוג: https://bitcoin4u.co.il/

שנת 2024 היא שנת הקריפטו

תנו לנו ללמד אתכם איך
לסחור ולהרוויח!

אל תפספסו את ההזדמנות - נותרו 5 מקומות אחרונים

👇השאירו פרטים עכשיו👇

מומחה מומלץ

לורם איפסום דולור סיט אמט, קונסקטורר אדיפיסינג אלית לפרומי בלוף קינץ תתיח לרעח. לת צשחמי צש בליא, מנסוטו צמלח לביקו ננבי, צמוקו בלוקריה.

cropped-logo-cryptojungle-2.png

להתחברות מלאו שם משתמש וסיסמה

פרטייך התקבלו בהצלחה! 🎉

בנתיים, יש לך אפשרות לבחור מבין הפעולות הבאות:

דילוג לתוכן