La plataforma para el intercambio de criptomonedas Wormhole sufrió el ataque de un hacker que aprovechó una vulnerabilidad en su servicio para robar 120,000 wETH, equivalentes a unos 318 millones de dólares.
De acuerdo con Blockworks, este sería el segundo pirateo de finanzas descentralizadas (DeFi) más grande hasta la fecha y se produce semanas después de que se realizara un ataque a Qubit Finance la semana pasada donde se obtuvieron aproximadamente 80 millones de dólares.
El wETH (Wrapped Ether) es una criptomoneda que permite intercambiar tokens de Ethereum por otros compatibles, entre los que están el propio Ethereum, Binance Smart Chain, Terra, Solana, Avalanche y Polygon.
Así funciona Wormhole y así fue el ataque
De forma técnica, el intercambio se hace "congelando" las criptomonedas que se transfieren en la blockchain de origen y las entrega "convertidas" en otro token equivalente en la red de destino. Luego en el blockchain original los tokens que ya fueron puenteados se "queman" y aquellos que estaban en resguardo se entregan a la cadena de origen.
Dicho de otra forma, el atacante aprovechó una vulnerabilidad para hackear el contrato de Solana, creando de forma artificial (y sin respaldo) wETH, que luego intercambió por ETH reales, y ya que estas no tenían un respaldo en la red de origen, el movimiento terminó por causarle las pérdidas a Wormhole.
La compañía informó que los fondos solamente correspondían al token wETH, y más tarde anunció que el problema había sido solucionado. También señaló que habían agregado ETH para que el token se encontrara respaldado 1:1 y que la criptomoneda mantuviera su valor.
The team is working on a detailed incident report and will share it asap
— Wormhole🌪 (@wormholecrypto) February 3, 2022
18:26 UTC - contract was exploited for 120k ETH
00:33 UTC - vulnerability was patched
13:08 UTC - ETH contract has been filled and all wETH are backed 1:1
13:29 UTC - the Portal (token bridge) is back up
Una recompensa por descubrir el problema... a cambio de menos dinero
Además Wormhole también ofreció al hacker 10,000 millones de dólares para que brindara información sobre el exploit que utilizó y para que devolviera lo robado. Esta práctica es común entre los white hat hackers, quienes aceptan las propuestas, pero para los que no lo hacen, obtienen un botín mucho mayor.
Los hackeos en las DeFi se están convirtiendo en algo común ya que está aumentando la popularidad e inversión de dinero por parte de los usuarios.
El hackeo que hasta ahora es el más grande de la historia fue en agosto de 2021 que afectó a la red Poly Network donde los fondos robados sumaron en total 600 millones de dólares.
