可提供多種加密貨幣互換的跨鏈加密貨幣去中心化金融(Decentralized Finance, DeFi)交易平台 Wormhole 日前遭駭,損失包裝以太幣(wETH) 120,000 枚,現額高達 3.26 億美元;不過一家投資該平台的合作伙伴,已出資彌補用戶的損失。
駭侵事件發生於 2022 年 2 月 3 日, Wormhole
的系統遭到不明來源的駭侵攻擊;駭侵者利用該平台智慧合約的漏洞,在其平台上的智慧合約,憑空鑄造出 120,000 枚「包裝以太幣 wETH」(即以
Solana 區塊鏈製作出的加密貨幣,價格鎖定以太幣),接著再換成 93,750 枚以太幣,並將其轉帳到自有的以太坊區塊鏈錢包內。
這次攻擊的主因在於 Wormhole 的「保護帳號」(guardian accounts)並未進行驗證,因此導致駭侵者可利用這個漏洞,憑空鑄造出 120,000 枚 wETH,完全零成本。
Wormhole 在發現漏洞遭攻擊後,除了修補漏洞外,同時試圖和駭侵者談判;截至目前為止,駭侵者竊走的 93,750
枚以太幣,還在駭侵者的控制之下。
資安專家指出,Wormhole 使用的 Solana 區塊鏈相關程式碼版本過舊,可能是造成這次攻擊事件的主要破口;一月中旬在 GitHub
上就有針對該平台 Solana 程式碼更新的 Pull request,但程式碼遲到二月才見變更,數小時之後就發生了此次駭侵事件。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-5701-47375-1.html
資料來源:https://www.twcert.org.tw/tw/lp-104-1.html
沒有留言:
張貼留言