Az elmúlt másfél év során több blokklánc ökorendszere is hatalmas fejlődésen ment keresztül. Az Ethereum után már a Binance, a Solana, az Avalance és a Polygon szolgáltatásain is több milliárd dollár értékű vagyont helyeztek letétbe a felhasználók. A különböző hálózatokon futó DeFi, NFT vagy éppen Play to Earn appok közötti átjárást az úgynevezett ‘hidak’ teszik lehetővé, melyek közül most az egyik legnagyobb, a Wormhole esett áldozatul egy hacker támadásnak.
A hidak működése elméletben rendkívül egyszerű. Ha szeretnék mondjuk ethereumot átvinni a Solana blokkláncra, mert ott olcsóbban tudok vele utalni, vagy magasabb kamatot kapok rá egy ott működő DeFi appban, akkor egy Solana és Ethereum közötti hídon letétbe helyezem az átvinni kívánt ETH tokenjeimet, és ezért a Solana-n ugyanennyi, úgynevezett csomagolt ETH-et kapok, amivel már azt csinálhatok a Solana-n, amit csak szeretnék.
Ha vissza szeretnék térni az Ethereumra, ugyanúgy a hídon átlépve visszaválthatom a csomagolt etheremet ‘valós’ ethereumra és már kész is vagyok.
Az egyik blokkláncon letétbe helyezett tokeneket zárolják, miközben a másikon ugyanannyi csomagolt tokent hoznak létre
A csomagolt ethereum (wETH) leköveti az ethereum értékét, a letétbe helyezés pedig garantálja, hogy az átjárás során nem jön létre több ethereum, tehát a láncok között nem inflálódik el az ETH mennyisége. Mindez más tokenekkel, stabil coinokkal, vagy akár a BTC-vel eljátszható, vagyis közvetett módon már bárki számára adott a lehetőség, hogy értéket továbbítson az eltérő elvek és szabályok szerint működő láncok között.
Ennek az eljárásnak az egyik gyenge pontja, hogy amíg két láncon is vannak értékeim (az egyiken a csomagolt token, a másikon a letétbe helyezett eredeti token), addig ki vagyok téve mind a két lánc esetleges hibáinak. Ha csak etherem van, csak akkor veszthetem el minden pénzem, ha az Ethereum teljesen leáll, amire viszonylag kicsi az esély. Ha a Solana-n van csomagolt etherem, akkor azt csak akkor tudom visszaváltani valós etherre, ha a Solana megfelelően működik. Ha leáll, akkor mindent, amit áthoztam, elbukok.
Erre ugyan szintén kicsi az esély, de így mégis már két lehetséges hibalehetőséggel kell számolnom.
Egy másik veszélyforrás lehet, ha magával a híddal történik valami, ami őrzi a blokkláncok között kalandozók értékeit. Ha ezt feltöri valaki, akkor vagy ellophatja a letéteket, vagy a csomagolási mechanizmusba belenyúlva a semmiből hozhat létre új csomagolt tokeneket, amiknek az értékét ugyan semmi sem garantálja, viszont átválthatóak a letétben tárolt valós tokenekre.
Ez utóbbi sikerült most annak a hackernek, aki a Wormhole nevű híd egy gyengeségét kihasználva, több mint 300 millió dollár értékű csomagolt ethert hozott létre és váltott át valós ethereumra.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole (@wormholecrypto) February 2, 2022
A Wormhole nagy nevű támogatókkal rendelkezik (többek közt az FTX-el), akik valószínűleg ki tudják majd pótolni a hiányzó ethert, így veszteség feltehetően nem fogja érni azokat, akik ether letéttel rendelkeztek a hídon. Ez viszont nem teszi semmissé azt a tényt, hogy ez volt minden idők második legnagyobb DeFi hackje. A legnagyobb támadás során, még tavaly augusztusban, 600 millió dollár értékű tokent loptak el a Polygonról, ám tűnjön bármennyire is hihetetlennek, azt a pénzt a tettes pár nappal később visszaadta.
Hasonló dologban reménykedhet most a Wormhole vezetése is, akik üzenetet küldtek a hacker ethereum címére. Ebben 10 millió dollárt ajánlanak fel azért, ha a támadó az akcióval “csak egy sebezhetőségre próbálta volna felhívni a figyelmet.”
6/ It seems that this problem was fixed on January 16th but the team didn't have time to deploy the new version yethttps://t.co/WGyun4tOKs pic.twitter.com/wojfcd8JwY
— deAlex (@AlexSmirnov__) February 3, 2022
Utólag egyébként az is kiderült, hogy a hacket lehetővé tevő kiskapu már két hete ismert volt a Wormhole fejlesztői előtt is, ám annak tényleges javítása még nem került bele a híd éles változatába, csak a fejlesztést összefogó Github profil egyik kódrészlete utalt a bug tervezett javítására. A késlekedés ezúttal jelentős károkat okozott.
További hírek és érdekességek Discord csatornánkon és a Youtube-on.
