Hacker rouba US$ 320 milhões de protocolo que conecta diferentes blockchains, como Solana e Ethereum

O Wormhole, protocolo que permite que usuários movimentem tokens comuns e tokens não fungíveis (ou NFTs, na sigla em inglês) entre Solana e Ethereum, confirmou ter sofrido uma invasão de 120 mil wrapped ethers (WETH), equivalentes a US$ 320 milhões – quantia mais alta do que os US$ 250 milhões que antes suspeitava ter perdido.

“ETH será acrescentado nas próximas horas para garantir que wETH seja lastreado 1:1”, publicou no Twitter, acrescentando: “Estamos trabalhando para fazer a rede voltar ao normal rapidamente”.

Na quarta-feira (2), uma publicação na conta do Twitter do Wormhole destacou que a rede tinha caído “para manutenção” por conta de uma “possível invasão”.

Mas, naquele momento, a invasão, conforme destacado pelo pesquisador de segurança do Paradigm samczsun, parecia ser real.

Uma mensagem no blockchain Ethereum, supostamente do Wormhole, afirma: “Percebemos que você conseguiu invadir a verificação VAA do Solana e emitir tokens. Gostaríamos de te fornecer um acordo ‘white-hat’ e te apresentar uma recompensa de US$ 10 milhões para [fornecer] detalhes da invasão e devolver o wETH que você emitiu”.

VAA é a sigla em inglês para “aprovação de ação de validadores” e se refere ao processo pelo qual transações são aprovadas.

A mensagem significa que Wormhole assume, de forma indireta, que o hacker agiu de boa-fé. Em troca, daria US$ 10 milhões por destacar uma vulnerabilidade. Mas quer seus milhões de dólares de volta.

Além de conectar Ethereum e Solana, Wormhole também trabalha com Avalanche, Binance Smart Chain, Oasis, Polygon e Terra.

Permite que usuários de uma blockchain levem ativos “wrapped” (que refletem o preço de ativos já existentes) e os use em outro blockchain para que obtenham vantagem de baixas taxas ou aplicações diferentes entre redes.

Mas para levar ether ao Solana, usuários precisam bloqueá-lo em um contrato autônomo e, em seguida, obter uma quantia equivalente em WETH. Assim, podem negociar WETH em troca de tokens desenvolvidos no Solana.

Se a mensagem acima estiver correta, o hacker foi capaz de pegar um atalho e emitir WETH sem manter ETH bloqueado.

*Traduzido e editado por Daniela Pereira do Nascimento com autorização do Decrypt.co.