複数のブロックチェーン間のブリッジを提供する人気の暗号資産プラットフォームであるWormholeは、エクスプロイトが発見されたことをTwitter(ツイッター)で発表した。ハッカーは、Ethereum(イーサリアム)とSolana(ソラナ)ブロックチェーンをつなぐブリッジを悪用したようだ。これにより、約3億2000万ドル(約370億円)相当のETHが、Wormholeチームに属さない暗号資産ウォレットにリダイレクトされた。
ブリッジとは、異なるブロックチェーン間の相互運用性と取引を促進するスマートコントラクトの組み合わせのことだ。ユーザーは通常、ブリッジを利用するためにウェブアプリを使用する。ユーザーは自分のウォレットをウェブアプリに接続し、取引を開始する。
取引が発信元のブロックチェーンで確認されると、暗号資産が宛先のブロックチェーンで解放され、ユーザーのウォレットに転送される。たとえば、ETHを送信して、交換にSOLを受け取ることができる。
米国時間2月2日、Wormholeはウェブサイトを停止した。「Wormholeネットワークはメンテナンスのためダウンしており、エクスプロイトの可能性を調査しています」と同社チームはツイートしていた。
The wormhole network is down for maintenance as we look into a potential exploit.
We will provide updates here as soon as we have them.
Thank you for your patience.
— Wormhole (@wormholecrypto) February 2, 2022
暗号アナリストたちは、すぐに2つの疑わしい取引に気づいた。ハッカーは脆弱性を見つけたようで、Wormholeの「ラップされた(wrapped)」ETHのように見える12万wETHをSolanaブロックチェーン上に鋳造した。
その2分後、ハッカーは1万ETHをEthereumブロックチェーンにブリッジした。さらに22分後、Ethereumブロックチェーン上で別の8万ETHの取引が発生した。その際も、ハッカーが資産の一部をEthereumのウォレットに移動させたようだ。
Wormholeの視点からすると、新しく鋳造されたwETHは通常のwETHとして現れた。WormholeはそれらのwETHに基づいてEthereumウォレットにETHをリリースしたので、ハッカーは実質的にWormholeの準備金からETHを盗んだことになる。
くだいていうと、取引当時、1ETHは2681ドルの価値があったため、12万ETHは約3億2000万ドル(約370億円)の価値があった。ETHはこの記事の執筆時には2622ドルで取引されており、エクスプロイト以降2.%下落している。
Wormholeチームは、このエクスプロイトを認めた。「Wormholeネットワークが侵害され、12万wETHの被害を受けました」と同社チームはTwitterに書いている。
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole (@wormholecrypto) February 2, 2022
Wormholeは別のツイートで「脆弱性にはパッチが適用されました」と述べている。筆者がこれを書いている今も、ブリッジはダウンしている。
The vulnerability has been patched.
We are working to get the network back up as soon as possible.
— Wormhole (@wormholecrypto) February 3, 2022
この資産が今後どうなるのか、Wormholeの準備金のwETHがまだETHで裏付けられているのかは不明だ。Wormholeは、ハッカーに宛てたメッセージで取引を試みている。同社チームは、資産と引き換えに1000万ドル(約11億5000万円)を提供するという。これは異様な決断になるだろう。
Wormholeが書いた内容は以下の通り。
こちらはWormholeデプロイメント担当者です。
私たちは、あなたがSolana VAA検証を悪用してトークンを鋳造することができたことに気づきました。あなたとホワイトハット契約を結び、エクスプロイトの詳細と、あなたが鋳造したwETHを返還することで、1000万ドル(約11億5000万円)のバグバウンティを提示したいと思います。contact@certus.one までご連絡お願いいたします。
画像クレジット:Kevin Ku / Unsplash
[原文へ]
(文:Romain Dillet、翻訳:Aya Nakazato)