325 miljoen dollar gestolen van cryptodienst Wormhole

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Een beveiligingsfout heeft geleid tot de vijfde grootste cryptodiefstal tot nu toe. Bij het platform Wormhole is zo’n 325 miljoen dollar gestolen van de digitale munt Solana.

De aanval gebeurde op 2 februari, en Wormhole heeft dat ondertussen ook bevestigd. Het bedrijf heeft ook losgeld beloofd aan de inbreker van tien miljoen dollar, om de fondsen die gestolen werden terug te storten. De hack lijkt er te zijn gekomen na een foutje in Github. Wormhole publiceerde op zijn Github een oplossing voor een exploit, die echter nog niet was geïmplementeerd in het project zelf. De beveiligingsfout werd dus nog snel uitgebuit.

Brug

Wormhole is geen traditioneel verkoopplatform voor cryptomunten, maar het voorziet een soort brug tussen verschillende blockchains. Het bedrijf levert een borgsysteem waarmee je één type van digitale munten kunt storten, om dan diensten te kopen in een ander type van digitale munten. Bij de aanval deze week wist de inbreker zo een handtekening te vervalsen voor een transactie waarbij hij of zij 120.000 wETH kon aanmaken. Dat is een tijdelijke, ‘wrapped’ equivalent van Ethereum op de Solana blockchain. De waarde daarvan ligt op zo’n 325 miljoen dollar (omgerekend 284 miljoen euro).

De aanvaller verhandelde die wETH vervolgens voor 250 miljoen dollar aan ‘echte’ Ethereum, en stuurde die naar de eigen account. Op die manier werd dus een grote hoeveelheid Ethereum gestolen die Wormhole als borg in zijn koffers houdt om transacties op de Solana blochchain te onderschrijven.

Github-foutje

Om die originele handtekening te vervalsen, gebruikte de aanvaller een kwetsbaarheid waarvoor Wormhole op 13 januari al een oplossing had. Die werd ook gepubliceerd op de Github repository van het bedrijf, maar dus duidelijk nog niet meteen geïmplementeerd in de productie-omgeving.

De kwetsbaarheid zou ondertussen ook voor echt verholpen zijn, en Wormhole geeft aan dat het extra Ethereum aan zijn brugfondsen zal toevoegen om de dienst te blijven leveren. Waar het dat geld vandaan zal halen, is momenteel niet duidelijk.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content