La plate-forme de crypto-monnaie Wormhole piratée pour 325 millions de dollars après une erreur GitHub
Mercredi, la plate-forme de finance décentralisée (DeFi) Wormhole a été victime du plus grand vol de crypto-monnaie cette année – et parmi les cinq plus grands hacks de crypto de tous les temps – lorsqu’un attaquant a exploité une faille de sécurité pour s’enfuir avec près de 325 millions de dollars.
L’attaque semble résulter d’une récente mise à jour du référentiel GitHub du projet, qui a révélé un correctif pour un bogue qui n’avait pas encore été déployé sur le projet lui-même.
L’attaque a eu lieu le 2 février et a été remarquée lorsqu’un message du compte Twitter Wormhole a annoncé que le réseau était en train d’être démonté pour maintenance tandis qu’un exploit potentiel a été étudié. UNE poste plus tard de Wormhole a confirmé le piratage et le montant volé.
Le réseau de trous de ver a été exploité pour 120k wETH.
ETH sera ajouté au cours des prochaines heures pour garantir que wETH est soutenu 1: 1. Plus de détails à venir sous peu.
Nous nous efforçons de rétablir rapidement le réseau. Merci pour votre patience.
– Trou de ver (@wormholecrypto) 2 février 2022
Peu de temps après l’attaque, l’équipe de Wormhole a également offert au pirate une prime de 10 millions de dollars pour restituer les fonds, qui ont été intégrés sous forme de texte dans une transaction envoyée à l’adresse du portefeuille Ethereum de l’attaquant.
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23215795/Wormhole_bounty_tx.png)
Wormhole fournit un service connu sous le nom de « pont » entre les blockchains, essentiellement un système d’entiercement qui permet de déposer un type de crypto-monnaie afin de créer des actifs dans une autre crypto-monnaie. Cela permet à une personne ou à une entité détenant des avoirs dans une crypto-monnaie d’effectuer des transactions et des achats en utilisant une autre, un peu comme pouvoir approvisionner un compte bancaire en dollars, puis utiliser une carte bancaire pour acheter quelque chose dont le prix est en euros.
Pour mener à bien l’attaque, l’attaquant a réussi à falsifier une signature valide pour une transaction qui leur a permis de frapper librement 120 000 wETH – un équivalent Ethereum « wap » sur la blockchain Solana, d’une valeur équivalente à 325 millions de dollars au moment du vol – sans saisir au préalable un montant équivalent. Cela a ensuite été échangé contre environ 250 millions de dollars en Ethereum qui ont été envoyés de Wormhole au compte des pirates, liquidant ainsi une grande partie des fonds Ethereum de la plateforme qui étaient détenus en garantie pour les transactions sur la blockchain Solana.
Les validations de code open source montrent que le code qui aurait corrigé cette vulnérabilité a été écrit dès le 13 janvier et téléchargé sur le référentiel Wormhole GitHub le jour de l’attaque. Quelques heures plus tard, la vulnérabilité a été exploitée par le pirate informatique, suggérant que les mises à jour n’avaient pas encore été appliquées à l’application de production.
En tant que développeur de logiciels Matthew Garrett observé sur Twitter, le téléchargement de code a été décrit comme s’il s’agissait d’une mise à jour de version courante, mais contenait en fait des modifications importantes – un fait qui aurait pu avertir l’attaquant du fait qu’il s’agissait d’un correctif de sécurité déguisé.
Un autre fichier disponible sur la page Wormhole Github détaille également un audit de sécurité mené par la société de recherche en sécurité Neodyme entre juillet et septembre 2021. Il n’est pas clair si la vulnérabilité était présente pendant la période d’audit, et Neodyme n’a pas répondu à une demande de commentaire.
En raison de la nature des applications inter-chaînes, l’attaque a temporairement laissé un énorme déficit entre la quantité d’Ethereum enveloppé et d’Ethereum régulier détenu dans le pont Wormhole – comme si l’actif collatéral adossant un prêt avait soudainement disparu. Selon Forbes, l’attaque a provoqué une baisse de 10% de la valeur de la crypto-monnaie Solana à la suite du piratage.
L’équipe de Wormhole a annoncé que davantage d’Ethereum seront ajoutés au pont pour remplacer les fonds de garantie volés, ce qui signifie que l’entreprise devra trouver 325 millions de dollars d’actifs pour combler l’écart.
À ce stade, on ne sait pas d’où proviendront les fonds. Les questions envoyées à Jump Crypto, société mère des développeurs de l’application Wormhole, n’avaient pas reçu de réponse au moment de la publication.