Что произошло с мостом Wormhole?
В мае 2022 года злоумышленник эксплуатировал уязвимость в смарт-контракте моста Wormhole, переведя $325 млн из экосистемы Solana в Ethereum. Атака основана на подделке транзакций через фальшивые сообщения о депозитах, что позволило злоумышленнику создать ложное представление о наличии средств на цепочке Ethereum.
Как злоумышленник обошёлся?
Атака не требовала взлома криптографии или взлома серверов. Злоумышленник отправил 143 000 поддельных транзакций на Solana, которые были подписаны приватным ключом моста. Эти транзакции были переданы валидаторам Wormhole, которые не проверили их корректность, и на основе этих данных создали фальшивые депозиты на Ethereum.
Последствия и реакция сообщества
После атаки Wormhole заморозила все транзакции на своих мостах, а Ethereum-адреса, получившие украденные средства, были заблокированы. Сообщество Solana и Ethereum активно обсуждало ответственность разработчиков и необходимость улучшения механизмов безопасности децентрализованных мостов.
Практические советы для пользователей
- Проверяйте адреса: перед отправкой средств на мост убедитесь, что адрес принадлежит официальному проекту.
- Используйте холодные кошельки: храните крупные суммы вне бирж и мостов, чтобы минимизировать риски.
- Следите за обновлениями: следите за новостями в сообществах проектов, чтобы узнать о патчах и уязвимостях.
- Используйте мосты с аудитом: выбирайте платформы, прошедшие независимый аудит смарт-контрактов.
Заключение
Инцидент с мостом Wormhole стал ярким примером того, как даже небольшие уязвимости в смарт-контрактах могут привести к масштабным убыткам. Для пользователей это повод быть осторожными при использовании децентрализованных мостов, а для разработчиков — напоминание о необходимости строгого тестирования и прозрачности кода. В эпоху роста децентрализованных финансов безопасность остаётся ключевым фактором доверия.