El puente de tokens Wormhole ha sufrido hoy un exploit de seguridad que ha provocado la pérdida de 120,000 tokens wETH (USD 321 millones) de la plataforma.

Wormhole es un puente de tokens que les permite a los usuarios enviar y recibir criptomonedas entre Ethereum, Solana, BSC, Polygon, Avalanche, Oasis y Terra sin el uso de un exchange centralizado (CEX). Se trata del mayor hackeo de criptomonedas de 2022 hasta el momento y el segundo mayor hackeo de DeFi hasta la fecha. El equipo de Wormhole ha ofrecido una recompensa de USD 10 millones por la devolución de los fondos.

El hackeo tuvo lugar en el lado del puente de Solana y se teme que el puente de Wormhole a Terra pueda ser igualmente vulnerable.

El equipo de Wormhole ha asegurado a la comunidad que su suministro de ETH se repondrá para "asegurar que wETH está respaldado 1:1", pero aún no se sabe de dónde vendrán esos fondos ni cuándo.

El hackeo tuvo lugar a las 18:24 UTC del 2 de febrero. El atacante acuñó 120,000 wETH (WETH) en Solana, y luego canjeó 93,750 WETH por ETH por un valor de USD 254 millones en la red Ethereum a las 6:28pm UTC. El hacker ha utilizado desde entonces algunos fondos para comprar SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) y Bored Ape Yacht Club Token (APE).

El WETH restante fue intercambiado por SOL y USDC en Solana. El monedero de Solana del hacker tiene actualmente 432,662 SOL (USD 44 millones).

No se ha informado de que otros activos o cadenas atendidas por Wormhole se hayan visto afectados, pero la firma de auditoría de contratos inteligentes Certik dijo hoy en un informe que "Es posible que el puente de Wormhole a la blockchain de Terra comparta la misma vulnerabilidad que su puente de Solana."

El equipo de Wormhole se puso en contacto con el hacker a través de su dirección de Ethereum para ofrecerle que se quedara con USD 10 millones de los fondos robados si le devolvían el resto.

"Este es el Wormhole Deployer: Nos hemos dado cuenta de que has sido capaz de explotar la verificación VAA de Solana y acuñar tokens. Nos gustaría ofrecerte un acuerdo de white-hat, y presentarte una recompensa de USD 10 millones por los detalles del exploit, y la devolución de los wETH que has acuñado. Puedes ponerte en contacto con nosotros en contact@certus.one".

En el momento de escribir este artículo, los tokens de wETH enviados a través del puente aún no se pueden canjear mientras el equipo de Wormhole intenta solucionar el problema.

Este es el segundo contrato inteligente explotado en un puente de tokens en una semana. El 28 de enero, el QBridge de Qubit Finance fue explotado por USD 80 millones en BSC. También recuerda al  hackeo de Poly Network del pasado agosto, en el que se robaron USD 610 millones en criptomonedas de la plataforma. En ese caso, casi todos los fondos fueron devueltos por el hacker de sombrero blanco.

La frecuencia de los hackeos de contratos inteligentes en los puentes de tokens sirve para validar la advertencia de Vitalik Buterin del 7 de enero de que hay "límites de seguridad fundamentales de los puentes". La advertencia del cofundador de Ethereum se produjo en el contexto de un ataque al 51% de Ethereum, pero su consejo fue muy oportuno al señalar la vulnerabilidad general evidente en los puentes que envían tokens a través de blockchains de capa 1.

Sigue leyendo: