Sicherheitslücke in Token Bridge Wormhole – Hacker erbeutet 320 Millionen US-Dollar
Die beliebte Token Bridge Wormhole wurde offenbar gehacked und es entstand ein Schaden in Höhe von fast 320 Millionen US-Dollar. Wormhole wird vor allem dafür verwendet, Token und NFTs zwischen den Blockchains von Solana (SOL) und Ethereum (ETH) zu verschieben. Durch eine Sicherheitslücke in einem Smart Contract gelang es einem Angreifer offenbar, 120.000 Wrapped Ether (WETH) zu erstellen und zusammen mit anderen Kryptowährungen auf seine eigene Wallet zu transferieren. Während einige Medien berichten, dass es sich bei dem Hacker um einen White Hat handeln könnte, berichten andere, dass Wormhole dem Angreifer lediglich einen millionenschweren Deal angeboten hat, die Vermögenswerte zurückzugeben.
Wormhole-Hacker erbeutet dreistellige Millionensumme
Wormhole ist eine auf Solana angesiedelte Token Bridge, welche wie eine Schnittstelle zur Ethereum-Blockchain zu verstehen ist. Die Token Bridge ermöglicht also den Transfer von Token und NFTs zwischen den beiden Blockchains. Dieser Austausch wird mittels Smart Contracts abgewickelt.
Nun gelang es einem unbekannten Hacker offenbar, einen Fehler in den Smart Contracts auszunutzen. Er erbeutete dem Vernehmen nach etwa 120.000 WETH und weitere Kryptowährungen. Wrapped Ether ist eine tokenisierte Form von ETH, welche den Token auf andere Blockchains bringt und den Kurs 1:1 nachbildet. Demnach ist ein WETH aktuell circa 2.650 US-Dollar wert.
Die Sicherheitslücke lässt sich allerdings nicht Wormhole selbst ankreiden, wie verschiedene Experten auf Twitter erklärten. Der Hacker nutzte eine allgemeine Lücke in den Smart Contracts, welche auch bei jeder anderen Multisig- oder Rollup-Bridge ausgenutzt werden könnte.
Die erbeuteten WETH haben einen Gegenwert von etwa 251 Millionen US-Dollar. Überdies erbeutete er circa 47 Millionen US-Dollar in SOL Coin und 4 Millionen US-Dollar in dem Stablecoin USDC. Wormhole reagierte sofort auf den Angriff und fuhr sein Netzwerk vollständig herunter. Man wolle den Exploit genau untersuchen und Kontakt zu dem Angreifer aufbauen. Auch die offizielle Website des Projekts ist aktuell nicht zu erreichen.
‼️ The wormhole network is down for maintenance as we look into a potential exploit.
📢 We will provide updates here as soon as we have them.
🙏 Thank you for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
Das Problem von Token Bridges – Hat Wormhole Glück im Unglück?
Der Hack ist der bislang schwerwiegendste im Ökosystem von Solana. Die Blockchain ist insbesondere im Zuge des DeFi- und NFT-Hypes äußerst beliebt geworden. Viele Blockchain-Nutzer agieren allerdings nicht nur innerhalb eines Ökosystems, weshalb sogenannte Token Bridges immer beliebter werden.
Diese Verbindungsprotokolle basieren pro Vorgang auf zwei Smart Contracts. In der Regel wird der native Token einer Blockchain in dem einen Smart Contract gesperrt und gegen eine tokenisierte Variante auf der anderen Blockchain getauscht. Wormhole häufte dazu reichlich ETH an, um die geprägten ETH zu decken.
Der Hacker brachte dieses Verhältnis gehörig durcheinander und aktuell dürften Wormhole circa 94.000 ETH in der Wallet fehlen. Um weiter agieren zu können, müssen die Verantwortlichen dieses Ungleichgewicht erst wieder begradigen. Wie Wormhole bekannt gegeben hat, sollen die fehlenden ETH innerhalb kürzester Zeit wieder hinzugefügt werden.
Woher das Projekt diese Mittel nimmt, ist nicht bekannt. Token Bridges in ihrer Funktion als millionenschwere Treuhandservices sind ein immer beliebter werdendes Ziel für Hacker. Zuletzt erklärte auch Ethereum-Gründer Vitalik Buterin, dass es Token Bridges aufgrund ihrer fundamentalen Sicherheitsgrenzen nicht mehr lange geben wird und andere Schnittstellen entwickelt werden müssen.
Noch ist nicht ersichtlich, wie groß der Schaden für Wormhole tatsächlich ist. In einer kryptografischen Notiz wandte sich das Projekt direkt an den Hacker und bot ihm einen Deal an. Er solle Kontakt mit den Verantwortlichen hinter Wormhole aufnehmen und die gestohlenen Krypto-Werte zurückgeben.
Im Gegenzug wolle man gemeinsam über den Exploit sprechen und der Angreifer würde eine Belohnung über 10 Millionen US-Dollar erhalten. Die Nachricht ging direkt an die Adresse des Hackers, auf denen nach wie vor die ETH im dreistelligen Millionenwert liegen.
Fazit: Wormhole Hack zeigt die Problematik hinter Token Bridges auf
Die Token Bridge Wormhole, welche Solana und Ethereum verbindet, wurde Opfer eines Hacks. Der Angreifer erbeutete Kryptowährungen im Gesamtwert von circa 320 Millionen US-Dollar. Das stellt nicht nur das Projekt vor eine ungewisse Zukunft, es zeigt auch die Anfälligkeit von Blockchain-übergreifenden Ökosystemen.
Der Angreifer nutze eine allgemeine Sicherheitslücke in Smart Contracts aus, welche theoretisch auch auf jeder anderen Bridge auftreten könnte. Mit dem Hack dürfte die Kritik an Token Bridges nicht abnehmen. Viele halten die Projekte, welche auf gigantischen Krypto-Vermögen sitzen, für zu unsicher und zu anfällig.
Update 04.02.2022: Wormhole hat die Arbeit wieder aufgenommen und das verlorene Guthaben wiederhergestellt
1/2
All funds have been restored and Wormhole is back up.
We're deeply grateful for your support and thank you for your patience.
— Wormhole🌪 (@wormholecrypto) February 3, 2022
