Bij een aanval op cryptoplatform Wormhole is omgerekend 320 miljoen dollar aan cryptovaluta buitgemaakt. Het platform biedt de aanvaller 10 miljoen dollar als hij uitlegt hoe het geld kon worden gestolen en het buitgemaakte bedrag teruggeeft.
Wormhole is een zogeheten "blockchain bridge" die gebruikers cryptovaluta over verschillende blockchains laat uitwisselen. Zo kan de ene cryptovaluta naar de andere worden omgezet. Wanneer een gebruiker cryptovaluta van de ene naar de andere blockchain wil versturen maakt de bridge hiervan een wrapped token, bijvoorbeeld wrapped ether (wETH), en stuurt die naar de gewenste blockchain.
Wormhole ondersteunt verschillende blockchains, namelijk Avalanche, Oasis, Binance Smart Chain, Ethereum, Polygon, Solana en Terra. Bij de aanval lukte het de aanvaller om op de Solona-blockchain 120.000 wrapped ether te minten. Die verdeelde de aanvaller vervolgens over zijn Solana- en ETH-wallets.
Dit was mogelijk doordat Wormhole de invoeraccounts niet goed controleerde, waardoor de aanvaller de vereiste digitale handtekeningen kon spoofen, aldus onderzoekers in een analyse van de aanval. Ook Wormhole erkent dat de aanvaller de verificatie aan de Solana-kant heeft weten te misbruiken.
De Wormhole-portal is op het moment van schrijven offline. Inmiddels is een beveiligingsupdate uitgerold om de kwetsbaarheid te verhelpen. Wormhole looft daarnaast 10 miljoen dollar uit aan de aanvaller als hij details over de aanval verstrekt en het buitgemaakte geld teruggeeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.