Атка была направлена на Wormhole Portal, блокчейн-мост, который, по сути, позволяет пользователям конвертировать одну криптовалюту в другую. Такие мосты используют смарт-контракты и блокируют исходный токен в смарт-контракте, создавая wrapped-версию токена, которую затем можно перенести в другой блокчейн. Платформа поддерживает блокчейны Avalanche, Oasis, Binance Smart Chain, Ethereum, Polygon, Solana и Terra.
Судя по всему, злоумышленник воспользовался неким багом, чтобы обмануть системы Wormhole и выпустил намного больше токенов, чем предоставил изначально. Таким образом он похитил 120 тысяч токенов wETH (wrapped Ether) стоимостью около 326 млн долларов на момент атаки (вскоре криптовалюта обесценились примерно до 294 млн долларов из-за колебаний цен после новостей о взломе).
Многочисленные ИБ-исследователи сообщают, что корень проблемы был связан с верификацией входных данных, а эксплоит злоумышленника позволял полностью обойти проверку подписи.
По информации издания The Record, вскоре после взлома разработчики Wormhole обратились к неизвестному взломщику и предложили ему 10 млн долларов и «контракт whitehat’а» в обмен на возврат похищенных средств. Журналисты отмечают, что такие контракты, оправдывающие действия хакеров, незаконны в некоторых юрисдикциях, то есть власти все равно имеют право преследовать злоумышленника даже после подписания такой бумаги.
Согласно официальному Twitter команды Wormhole, в настоящее время платформа "восстановила все средства" и вернула пользователям доступ к мосту, который был временно заблокирован. Также подчеркивается, что уязвимость, использованная злоумышленником, была устранена.
Ранее сообщалось о том, что НБУ в приветственной форме предупредил Минцифры, что электронную гривну будет выпускать только он. Нацбанк предупреждает, что на сегодняшний день Государственное предприятие "Украинский институт интеллектуальной собственности" (Укрпатент) осуществляет процедуру регистрации торговой марки "е-гривна" по представлению Национального банка.