Hackern som kom undan med miljoner från blockchain bridge-tjänsten Wormhole utnyttjade ett otroligt vanligt kodningsfel som kunde ligga på lur i någons mjukvara.
Bild: tigerstrawberry, iStock/Getty ImagesDe som följer teknikvärlden har förmodligen hört talas om det senaste hacket av blockchain-bryggtjänsten Wormhole som har uppgått till den fjärde största kryptostölden och den näst största De-Fi-stölden någonsin. Angriparen som hittade utnyttjandet skapade 120 000 Ethereum ur ingenting och kom undan med cirka 324 miljoner dollar av det.
Som bakgrund är Wormhole en tjänst som låter användare utbyta kryptovalutor över blockkedjor, ungefär som att byta en fiat-valuta mot en annan. I det här speciella fallet utnyttjade angriparen Wormhole på ett sådant sätt att de kunde lura det till att prägla 120 000 inslagna ethereum (wETH, en 1:1 värdeekvivalent token som representerar ethereum) på Solana blockchain, varav de flesta angriparen sedan flyttade till ethereum blockchain.
Måste läsa säkerhetstäckning
Tyvärr för Wormhole, var allt det där utnyttjande skapade WETH tvungen att stjäla värde från någonstans, och det kom från Wormholes lager av ethereum som låter det backa all WETH på sitt nätverk.
SER: Metaverse cheat sheet: Allt du behöver veta (gratis PDF) (TechRepublic)
Med dessa medel saknade, kunde Wormhole inte säga att dess nätverk kunde backa transaktioner som involverade ethereum. Den stängdes av för att bedöma problemet, och utan någon möjlighet att återfå sina stulna medel som Wormhole tog för att faktiskt vädja till angriparen att lämna tillbaka det stulna ethereumet i utbyte mot en buggpremie på 10 miljoner dollar.
Angriparen har ännu inte accepterat erbjudandet, och Wormhole kunde bara återställa sin saknade krypto tack vare generositeten från en annan kryptoinvesteringsorganisation som heter Jump Trading, som sa om dess välgörenhet att “vi ersatte 120k ETH för att göra communitymedlemmar hela och stödja Wormhole nu när det fortsätter att utvecklas.”
En läxa för alla: Validera din input
Att lägga undan de förlorade medlen, välgörenhetsgivarna och den totala katastrofen (i en lång rad kryptokatastrofer) är det Wormhole-hacket; ignorerar komplexiteten som blockkedjor är, för att inte säga något om cross-blockchain-teknologi; och om man ser bort från kryptons instabila värde och miljöpåverkan, finns det en läxa att dra av denna attack som tyvärr ännu inte har tagits till hjärtat: Validera din input.
Enligt säkerhetsforskare som snabbt tog till Twitter med sina upptäckter, berodde det utnyttjande som gjorde att angriparen kunde dra 120 000 ETH ur … etern för att Wormhole inte korrekt validerade vad det kallar “väktarkonton”, som anses säkrare än vanliga användarkonton.
Genom att använda en serie blockchain-transaktioner för att infoga falska referenser kunde angriparen lura Wormhole att dra sysvar-instruktioner från falska de hade skapat under Wormholes signaturverifieringsprocess. Kort sagt, angriparen utnyttjade det faktum att Wormhole inte korrekt validerade kontona, vilket gav angriparen chansen att infoga sina egna falska kommandon som fick det att se ut som om de hade auktoriteten att prägla ethereum.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Roger Grimes, en datadriven försvarsevangelist för KnowBe4, sa att programmeringsfelet Wormhole gjorde var ganska vanligt, men allvarligt ändå. “Funktionen inuti de flera kapslade smarta kontrakten som var tänkt att verifiera signaturen var inte kodad för att säkerställa att integritetskontrollen faktiskt ägde rum. Så det fanns ingen integritet garanterad i integritetskontrollen. Ja, det är ett problem, säger Grimes.
Säker utvecklingslivscykelkodning (SDL) bör vara standardpraxis för alla, sa Grimes. Tyvärr är “de flesta utvecklare och skapare av smarta kontakter inte utbildade i SDL och får lite eller ingen utbildning i säker utveckling”, sa Grimes. Slutresultatet av den utbildningsbristen är att mer kod med fler exploits (många vanliga och lättexploaterade) dyker upp i naturen.
Kryptovalutavärlden, varnar Grimes, “är en omogen industri som använder omogen kod, som går framåt i varphastighet.” Kombinera det med biljoner dollar i värde och du har det perfekta receptet för stöld och bedrägerier. Släng in en gemenskap som backar vid tanken på reglering och du har den perfekta miljön för brott som Wormhole-hacket, som berikade en enskild angripare för mycket liten risk.
Grimes sa att det finns lärdomar att dra från Wormhole-hacket, men han verkar inte säker på att de lärdomarna kommer att tas till hjärtat. “Man hoppas alltid att när nästa coola digitala sak händer att vi bättre kommer att tillämpa säkerhetslärdomarna från de tidigare plattformarna. Men vi verkar alltid vilja att det ska finnas mer digitalt blod på marken än vad det behöver vara. Vi vill alltid, om och om igen, lära oss den hårda vägen, säger Grimes.
Ta den här nyheten som ett tecken på att titta på dina egna system. Du kanske inte är personligt ansvarig för programvara som flyttar miljarder dollar, men någon kommer att lida en förlust när ett intrång oundvikligen inträffar, och du kan undvika att bli det offer genom lite proaktivt säkerhetsarbete.
