美東時間週三下午,加密貨幣圈出現一起令人震驚的盜竊案。連接以太坊和Solana兩大區塊鏈的主要橋樑——蟲洞(Wormhole)被黑客攻擊,據估計,其損失至少達3.2億美元。
這是DeFi世界披露出來的第二大黑客攻擊損失,目前最高紀錄是Poly Network加密貨幣被盜事件中的6億美元,這也是針對Solana的黑客攻擊中造成的最大損失規模。
DeFi的全稱是Decentralized Finance,即“去中心化金融”,當前DeFi項目主要在以太坊的區塊鏈上進行。不過,Solana近階段成長很快,其憑藉收費更低和速度更快的優點,已成為以太坊的競爭對手,在DeFi和NFT(非同質化代幣)生態系統中日益受到關注。
那麼,問題就來了,加密貨幣持有者通常不會只在一個區塊鏈內運營,他需要將其帳面財富在不同的區塊鏈間移動。那樣,類似蟲洞(Wormhole)這樣的橋樑就出現了。蟲洞項目本質是一個協議,允許用戶在Solana和以太坊之間移動他們的令牌和NFT。
蟲洞的推特帳號已證實了該起黑客攻擊,稱該網絡將停機維護,同時正調查潛在的漏洞。而其推特最新發布的消息是,這個漏洞已經被修補,正在努力使網絡盡快恢復。
損失慘重
區塊鍊網絡安全公司CertiK的一項分析顯示,迄今為止,黑客攻擊者至少盜走價值2.51億美元的以太幣,近4700萬美元的Solana幣,超過400萬美元的穩定幣USDC,一種與美元價格掛鉤的穩定幣。
QuikNode的聯合創始人Auston Bunsen指出,像蟲洞這樣的橋樑通過兩個智能合約來工作——每條鏈上有一個智能合約,Solana上有一個智能合約,以太坊上也有一個智能合約。
這樣,蟲洞就可以接收以太坊代幣,將其鎖定在一個區塊鏈上的一個契約中,然後在橋的另一邊鏈上,它會發出一個並行的代幣。通常,並行以太幣與原始幣的價值掛鉤,但可以與其他區塊鏈互操作
CertiK的初步分析顯示,黑客攻擊者利用了蟲洞橋Solana側的一個漏洞,為自己創建了12萬個所謂的“包裝”以太坊代幣(即膺品)。隨後黑客們似乎使用這些被包裝過的並行代幣來要求換取橋上以太坊一側持有的真正以太幣。
在此次攻擊前,Solana區塊鏈上的以太幣和包裝以太幣的比例為1:1,“本質上是一種託管服務”。但這次攻擊後,這種兌換關係被打破了,因為橋樑方缺了至少93750個以太幣作為抵押品。
對區塊鏈安全敲響警鐘
CertiK在該事件發生後的一份報告中指出,當一個“橋樑”擁有數億美元的託管資產,並在兩個或多個區塊鏈上操作,這就增加了它們可能被攻擊的管道,從而可能成為黑客們的主要攻擊目標。
CertiK聯合創始人Gu Ronghui表示,“蟲洞的3.2億美元黑客攻擊,凸顯了針對區塊鏈協議的攻擊日益增長的趨勢。這次襲擊敲響了人們對區塊鏈安全問題日益擔憂的警鐘。”
區塊鏈分析公司Elliptic的聯合創始人湯姆羅賓遜(Tom Robinson)表示,這再次表明,DeFi服務的安全性還沒有達到可以容納大量資金的水平。
他說,“區塊鏈的透明度,本身就允許攻擊者識別和利用主要漏洞。”