learner сказал(а):
I'm trying to understand how it happened, the victim is connected to a fraudulent site? if not what method did they use
Пожалуйста, обратите внимание, что пользователь заблокирован
Вот что случилось, это было летом прошлого года, но некоторые смарт-контракты все еще могут быть уязвимы:
Wormhole предоставляет услугу, известную как «мост» между блокчейнами, по сути, систему условного депонирования, которая позволяет депонировать один тип криптовалюты для создания активов в другой криптовалюте. Это позволяет физическому или юридическому лицу, владеющему одной криптовалютой, совершать сделки и покупать, используя другую, что-то вроде возможности пополнить банковский счет в долларах, а затем использовать банковскую карту для покупки чего-либо по цене в евро.
Чтобы провести атаку, злоумышленнику удалось подделать действительную подпись для транзакции, которая позволила им свободно чеканить 120 000 wETH — «обернутый» эквивалент Ethereum в блокчейне Solana со стоимостью, эквивалентной 325 миллионам долларов на момент кражи. без предварительного ввода эквивалентной суммы. Затем он был обменян примерно на 250 миллионов долларов в Ethereum, которые были отправлены из Wormhole на счет хакеров, что фактически ликвидировало большую часть средств Ethereum платформы, которые удерживались в качестве залога для транзакций в блокчейне Solana.
Коммиты с открытым исходным кодом показывают, что код, который устранил бы эту уязвимость, был написан еще 13 января и загружен в репозиторий Wormhole GitHub в день атаки. Всего через несколько часов хакер воспользовался уязвимостью, предполагая, что обновления еще не были применены к рабочему приложению.
Как заметил в Твиттере разработчик программного обеспечения Мэтью Гарретт, загрузка кода была описана так, как если бы это было обновление заурядной версии, но на самом деле оно содержало обширные изменения — факт, который мог натолкнуть злоумышленника на тот факт, что это была замаскированное исправление безопасности.
Источник:
https://www.theverge.com/2022/2/3/2...ithub-error-325-million-theft-ethereum-solana.
This Is what Happened, it was last year in the summer but some smart contracts might still be vulnerable:
Wormhole provides a service known as a “bridge” between blockchains, essentially an escrow system that allows one type of cryptocurrency to be deposited in order to create assets in another cryptocurrency. This allows a person or entity with holdings in one cryptocurrency to make trades and purchases using another, somewhat like being able to fund a bank account in dollars and then use a bank card to buy something priced in euros.
To carry out the attack, the attacker managed to forge a valid signature for a transaction that allowed them to freely mint 120,000 wETH — a “wrapped” Ethereum equivalent on the Solana blockchain, with value equivalent to $325 million at the time of the theft — without first inputting an equivalent amount. This was then exchanged for around $250 million in Ethereum that was sent from Wormhole to the hackers’ account, effectively liquidating a large amount of the platform’s Ethereum funds that were being held as collateral for transactions on the Solana blockchain.
Open-source code commits show that code that would have fixed this vulnerability was written as early as January 13th and uploaded to the Wormhole GitHub repository on the day of the attack. Just hours later, the vulnerability was exploited by the hacker, suggesting that the updates had not yet been applied to the production application.
As software developer Matthew Garrett observed on Twitter, the code upload was described as if it were a run-of-the-mill version update but actually contained extensive changes — a fact that could have tipped off the attacker to the fact that it was a disguised security fix.
Source:
https://www.theverge.com/2022/2/3/2...ithub-error-325-million-theft-ethereum-solana