加密貨幣平台 Wormhole 遭駭，損失達 3.26 億美元，現已補回 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

可提供多種加密貨幣互換的跨鏈加密貨幣去中心化金融（Decentralized Finance, DeFi）交易平台 Wormhole 日前遭駭，損失包裝以太幣（wETH） 120,000 枚，現額高達 3.26 億美元；不過一家投資該平台的合作伙伴，已出資彌補用戶的損失。

該起駭侵事件發生於 2022 年 2 月 3 日，當時 Wormhole 的系統遭到不明來源的駭侵攻擊；駭侵者利用該平台智慧合約的漏洞，在其平台上的智慧合約，憑空鑄造出 120,000 枚「包裝以太幣 wETH」（即以 Solana 區塊鏈製作出的加密貨幣，價格鎖定以太幣），接著再換成 93,750 枚以太幣，並將其轉帳到自有的以太坊區塊鏈錢包內。

據區塊鏈相關媒體報導指出，這次攻擊的主因在於 Wormhole 的「保護帳號」（guardian accounts）並未進行驗證，因此導致駭侵者可利用這個漏洞，憑空鑄造出 120,000 枚 wETH，完全零成本。

Wormhole 在發現漏洞遭攻擊後，除了修補漏洞外，同時試圖和駭侵者談判；Wormhole 表示願意提供 1,000 萬美元當做獎金，要求駭客將竊走的 wETH 歸還給 Wormhole；不過截至目前為止，駭侵者竊走的 93,750 枚以太幣，仍然並未轉移到任何錢包之中，該在駭侵者的控制之下。

不過，Wormhole 的投資者之一 Jump Crypto 在事件發生後，立即對 Wormhole 補回 120,000 枚 wETH，因此在這次駭侵事件中，投資人的所有損失都得到彌補。

資安專家指出，Wormhole 使用的 Solana 區塊鏈相關程式碼版本過舊，可能是造成這次攻擊事件的主要破口；一月中旬在 GitHub 上就有針對該平台 Solana 程式碼更新的 Pull request，但程式碼遲到二月才見變更，數小時之後就發生了此次駭侵事件。