Wormhole – “jembatan” blockchain berbasis web yang memungkinkan pengguna untuk mengubah mata uang kripto – mengatakan pada hari Kamis bahwa “semua dana aman” setelah penyerang menyalahgunakan kerentanan untuk merusaknya demi 120.000 Ethereum (sekitar $314 juta).

Jembatan populer, yang menghubungkan Ethereum (ETH), blockchain Solana (SOL) dan banyak lagi, dilaporkan telah mencoba untuk bernegosiasi secara on-chain dengan penyerang sejak serangan hari Rabu. Eksploitasi tersebut dilaporkan sebagai pencurian kripto terbesar keempat yang pernah ada, yang terbesar pada tahun 2022 sejauh ini, dan yang terbesar yang pernah dihadapi Solana.

Dalam postmortem yang dibagikan dengan Threatpost pada hari Kamis, keamanan blockchain dan perusahaan pengauditan cerdas CertiK mengatakan bahwa analisis awal menunjukkan bahwa “penyerang mengeksploitasi fungsi mint di sisi Solana dari jembatan Wormhole untuk membuat 120.000 wETH [Ethereum yang dibungkus] untuk diri mereka sendiri, kemudian menggunakan token yang dicetak ini untuk mengklaim ETH yang disimpan di sisi jembatan Ethereum.”

Sejauh upaya negosiasi berjalan, CertiK mengatakan bahwa tim Wormhole meninggalkan pesan kepada penyerang yang menyatakan, “Kami melihat Anda dapat mengeksploitasi verifikasi Solana VAA dan token mint. Kami ingin menawarkan Anda kesepakatan topi putih, dan memberi Anda hadiah bug sebesar $10 juta untuk detail eksploitasi, dan mengembalikan uang yang telah Anda cetak. Anda dapat menghubungi kami di contact@certus.one.”

Total pencurian sedikit berbeda dari Wormhole: Analisis CertiK menunjukkan bahwa penyerang lolos dengan 93.750 ETH ($251 juta), 432.662 SOL ($46,6 juta) dan 4,14 juta dalam USD Coin (USDC) ($4,14 juta), dengan total $302,495.717.

Ini adalah peretasan terbesar kedua dari platform keuangan terdesentralisasi (DeFi), kedua setelah eksploitasi Poly Network (ETH), di mana penyerang merobek sekitar $602 juta. Penyerang itu dilaporkan melanjutkan untuk membayarnya kembali, bagaimanapun, setelah menerima pertunjukan sebagai kepala penasihat keamanan dengan Poly Network.

Dalam tweet pagi-pagi pada hari Kamis, akun Twitter resmi Wormhole mengkonfirmasi bahwa itu telah digerebek untuk 120.000 ETH, tetapi itu kerentanan sekarang telah ditambal.
1/2

Semua dana telah dipulihkan dan Wormhole telah dicadangkan.

Kami sangat berterima kasih atas dukungan Anda dan terima kasih atas kesabaran Anda.

— Wormhole🌪 (@wormholecrypto) 3 Februari 2022



Wormhole's Portal – tokennya bridge – telah dicadangkan pada 13:29 UTC, kata tim.

A Kesalahan Pemrograman 'Rather Common'

Roger Grimes, penginjil pertahanan berbasis data untuk KnowBe4, mengatakan kepada Threatpost pada hari Kamis bahwa serangan itu berhasil karena apa yang dia sebut "agak umum ” programming error.

“Fungsi di dalam beberapa kontrak pintar bersarang yang seharusnya memverifikasi tanda tangan tidak dikodekan untuk memastikan pemeriksaan integritas benar-benar terjadi ned,” jelasnya melalui email. “Jadi tidak ada jaminan integritas dalam pemeriksaan integritas. Ya, itu masalah.”

Mengapa Begitu Populer?

CertiK mengatakan bahwa popularitas jembatan berarti bahwa jembatan itu telah menjadi jembatan dominan antara Solana dan Ethereum, “dan dengan demikian bertanggung jawab atas sebagian besar dari semua Ethereum yang dibungkus di blockchain Solana. ”

020322 14:54 UPDATE: Menambahkan analisis CertiK tentang rasio 1:1 Wormhole dari ETH terhadap wETH.

Seperti yang dijelaskan CertiK dalam postmortemnya, jembatan tersebut memiliki rasio 1: 1 ETH terhadap wETH, "pada dasarnya bertindak sebagai layanan escrow." Tetapi pencurian itu mematahkan patokan 1: 1 itu, yang mengarah ke apa yang dikatakan CertiK adalah "setidaknya 93.750 lebih sedikit ETH yang disimpan sebagai jaminan."

Itu bukan pertanda baik bagi kesehatan keuangan Solana, kata perusahaan itu. Jika rasio itu tidak diperoleh kembali, DeFi di Solana berisiko mengalami “peristiwa likuidasi massal”, menurut analisisnya. diperlukan untuk mengembalikan pasak ke dukungan 1:1, agunan WETH pada Solana dipulihkan.

Semua baik dan bagus, tapi tetap saja, gonad investor menyusut sebagai tanggapan atas pencurian besar-besaran: Harga Solana, yang melampaui Bitcoin dan Ethereum tahun lalu, jatuh bebas pada Kamis pagi. Itu dijual pada $97,69 pada 12:50 ET, turun 10 persen sejak rincian pencurian terungkap. Solana telah mencapai level tertinggi $260 pada November 2021. Ethereum juga memberi investor sarang, setelah turun sekitar 5 persen pada waktu yang sama pada hari Kamis.

Pada titik ini, tingkat penuh dari serangan ini “masih harus dilihat,” kata CertiK. Itu bisa berubah menjadi pendahulu serangan lain, perusahaan menyarankan, jika, misalnya, jembatan Wormhole ke cryptocurrency yang berbeda – blockchain Terra – memiliki kerentanan yang sama dengan jembatan Solana-nya.

Siapa yang Menyelamatkan Wormhole?

Tim Wormhole tidak melakukannya ' t tentukan siapa yang menggali ke dalam apa yang harus menjadi kantong yang sangat dalam untuk mengisi kembali semua uang itu. Twitterverse, tentu saja, memiliki hipotesis, termasuk bahwa mungkin itu adalah Alameda Research: perusahaan perdagangan kuantitatif cryptocurrency dan penyedia likuiditas yang mengklaim “mengelola lebih dari $70 juta aset digital dan memperdagangkan sekitar $1 miliar per hari di ribuan produk: semuanya utama koin dan altcoin, dan turunannya.”

“Itu adalah mencairkan ekuitas mereka hingga tak terbatas dengan dana talangan $300 juta atau menyaksikan semua ekosistem Solana hancur dan terbakar (yang akan merugikan Alameda lebih dari $300 juta dalam pembukuannya),” saran satu pengguna Twitter.
Alameda mungkin menyelamatkan mereka, entah itu mencairkan ekuitas mereka hingga tak terbatas dengan dana talangan $300 juta atau menyaksikan semua ekosistem Solana hancur dan terbakar (yang akan merugikan Alameda lebih dari $300 juta dalam buku mereka)

— ichioku ( @1chioku) 3 Februari 2022



Alameda belum membuat pernyataan publik tentang masalah ini. Wormhole telah menjanjikan laporan insiden terperinci sesegera mungkin.

Crypto's Cutting Edge Mendapat Potongan yang Menjijikkan

Ronghui Gu, salah satu pendiri dan profesor CertiK, mengatakan kepada Threatpost pada hari Kamis bahwa jelas eksploitasi Wormhole ini bukan yang pertama dari jenisnya, dan jelas, itu tidak akan menjadi yang terakhir.

“Kami melihat jembatan lintas rantai lainnya dieksploitasi kurang dari seminggu yang lalu, ketika Qubit Finance kehilangan $80 juta,” Gu menunjukkan, mengacu pada serangan yang dikonfirmasi oleh protokol DeFi Qubit Finance pada hari Jumat.

Penyerang dilaporkan mengambil 206.809 koin Binance melalui fungsi deposit QBridge Qubit, menjadikannya peretasan DeFi terbesar ketujuh yang pernah ada. “Kami tampaknya berada pada titik yang canggung di mana permintaan untuk infrastruktur lintas rantai jauh melampaui kemampuan industri untuk membangun layanan dengan aman,” katanya kepada Threatpost melalui email.

Tentu saja, selalu ada alasan “karena di situlah uangnya” , Gu mencatat: “Jembatan adalah target yang menarik bagi peretas: jembatan tersebut menyimpan jutaan dolar token dalam apa yang pada dasarnya merupakan kontrak escrow, dan dengan beroperasi di berbagai rantai, mereka melipatgandakan titik kegagalan potensial mereka.” mengatakan, dan mereka yang berada di ujung tombak teknologi cryptocurrency dapat terbentur sebagai akibatnya: “Banyak uang mengalir ke ekosistem terbaru dan paling menarik. Harga yang dibayar oleh para penjelajah DeFi yang paling suka bertualang adalah risiko tinggi menjadi korban eksploitasi platform yang inovatif tetapi pada akhirnya tidak aman ini.”

A Need for Secure Development Lifecycle

Di mana ada perangkat lunak, ada bug. Grimes menunjuk serangan itu sebagai contoh kasus tentang perlunya pelatihan dalam pengkodean siklus hidup pengembangan yang aman (SDL). “SDL mengajarkan pengembang tentang bug umum yang dapat dieksploitasi dan bagaimana menghindari memasukkannya ke dalam kode mereka sendiri,” jelasnya. “Ini mengajarkan tentang menggunakan alat pemeriksaan bug, menggunakan alat pengkodean yang secara otomatis mengesampingkan sebanyak mungkin bug keamanan, dan secara umum, menempatkan keamanan ke dalam seluruh siklus hidup pengembangan sesuatu, baik itu program tradisional, aplikasi ponsel pintar, atau kontrak pintar. .”

Tetapi ada  masalah mendasar yang lebih besar, katanya: Yaitu, sebagian besar developer dan pembuat kontrak pintar, tidak terlatih dalam SDL dan “mendapatkan sedikit atau bahkan tidak sama sekali pelatihan dalam pengembangan yang aman. Jadi, bug semacam ini akan menyusup dan aktor jahat akan memanfaatkannya.”

Satu hal yang perlu diperhatikan adalah bahwa dunia cryptocurrency penuh dengan triliunan dolar, tetapi masih dalam tahap balita. “Ini adalah industri yang belum matang yang menggunakan kode yang belum matang, dan seperti semua industri baru, industri ini bergerak maju dengan kecepatan warp, keamanan yang baik terkutuklah,” kata Grimes.

Sementara semakin sulit bagi aktor jahat dan pemburu bug untuk menemukan eksploitasi yang sangat bagus di Microsoft Windows, Mac, Linux, dan Google ChromeOS, platform ini semakin matang, membuatnya lebih sulit untuk dipisahkan, katanya. Itu termasuk pembuat kode berpengalaman, alat, dan mekanisme perlindungan sistem operasi itu sendiri.

Tidak demikian dengan dunia cryptocurrency, kata Grimes, yang merupakan kebalikannya.

“Ini dibangun di atas protokol dan algoritme yang sangat aman, tetapi kemudian banyak aplikasi yang sangat tidak matang dan buggy dibangun di atasnya,” dia mengamati.

Dia membandingkannya dengan meletakkan kunci pintu Anda di tanaman pot Anda di depan pintu: “Terkadang yang harus dilakukan pencuri hanyalah melihat. Dan itulah yang dilakukan peretas yang mengeksploitasi cryptocurrency. Mereka menggunakan metode tradisional mereka untuk berburu bug dan menggunakannya untuk melawan aplikasi cryptocurrency yang belum matang. Dan viola, mereka menemukan banyak bug yang dapat dieksploitasi.”

Dan begitu uang habis, sulit untuk mendapatkannya kembali. “Eksploitasi selalu menghasilkan uang curian, yang sulit dilacak dan [diidentifikasi], dan hampir selalu mustahil untuk dibalik, bahkan jika Anda menontonnya secara langsung,” kata Grimes.

Dia memperkirakan bahwa setelah menderita miliaran dolar dalam sakit, dunia cryptocurrency “akan matang dan akan menjadi lebih sulit bagi peretas untuk menemukan hasil yang mudah.”

Sayang sekali pelajarannya sangat menyakitkan, Grimes berkata: “Anda selalu berharap bahwa ketika hal digital keren berikutnya terjadi, kita akan lebih baik menerapkannya. pelajaran keamanan yang dipelajari dari platform sebelumnya. Tapi sepertinya kita selalu ingin ada lebih banyak darah digital di lapangan daripada yang seharusnya. Kami selalu, berulang kali, ingin belajar dengan cara yang sulit. Setiap platform komputasi baru seperti kami tidak belajar sama sekali.”