Một trong những điều tồi tệ nhất hack chống lại chuỗi khối Solana đã xảy ra vào thứ Tư khi một hacker quản lý để chuyển 80.000 ether (ETH), hơn 214 triệu đô la vào thời điểm viết bài, ra khỏi hệ thống Solana và vào chuỗi khối Ethereum thông qua cầu Wormhole – một dịch vụ cung cấp khả năng chuyển tiền giữa các blockchain khác nhau.

Giải thích trong một tweet chủ đề bởi hồ sơ Twitter có bút danh hợp đồng thông minhhacker đã hoàn thành việc khai thác bằng cách chuyển 80.000 ETH ra khỏi hợp đồng thông minh Wormhole trên Ethereum trong một lần duy nhất Giao dịch. Hóa ra, đây chỉ là động thái cuối cùng trong một loạt các vụ hack cho phép hacker đánh cắp tiền.

“Mặc dù rất kịch tính, nhưng giao dịch này chỉ là phần cuối của một chuỗi sự kiện thú vị. Tôi đã phải bắt đầu làm việc theo cách của mình để tìm ra cách điều này thậm chí có thể xảy ra, “smartcontracts tweet.

Người giám hộ đã ký vào một chuyển nhượng sai

Wormhole là một cái gọi là cầu, một hợp đồng thông minh, trên Ethereum trong trường hợp này, cung cấp một cách để di chuyển tài sản tiền điện tử giữa các blockchains khác nhau. Theo hợp đồng thông minh, từ quan điểm cấp cao, Wormhole đặc biệt có một tập hợp những người bảo vệ được đồng gọi là ký kết chuyển giao giữa các blockchains.

Những người bảo vệ Wormhole bằng cách nào đó đã ký vào giao dịch chuyển 80.000 ETH này như thể nó là hợp pháp 100%.

“Giao dịch thu về 80.000 ETH thực sự là kẻ tấn công chuyển 80.000 ETH từ Solana sang Ethereum. Ban đầu tôi nghĩ rằng hợp đồng có thể đã xác thực không chính xác các chữ ký trên chuyển nhượng, nhưng các chữ ký [were] hoàn toàn kiểm tra. ”

Theo hợp đồng thông minh, bước đột phá đầu tiên và giải thích một phần đến từ Giao dịch trên Solana, bằng cách nào đó đã tạo ra 120.000 “ETH lỗ sâu”, bọc ether trên Solana, không biết từ đâu. Vì tin tặc đã có thể khai thác ETH của Wormhole trên Solana, anh ta đã có thể rút nó về Ethereum một cách chính xác.

“Solana thật kỳ lạ”

Kiểm tra lịch sử giao dịch của hacker, có một giao dịch đến ngay trước khi đúc 120.000 ETH của Wormhole. Trong này Giao dịchhacker chỉ kiếm được 0,1 ETH của Wormhole, như thể hacker đang thử nghiệm chức năng với một lượng nhỏ.

Một cuộc kiểm tra sâu hơn về lịch sử giao dịch của tin tặc cho thấy rằng tin tặc đã thực hiện một đặt cọc 0,1 ETH từ Ethereum vào Solana. Mặc dù kẻ tấn công đã không gửi 120.000 ETH vào hợp đồng thông minh Wormhole trên Ethereum, nhưng có một điều thú vị về khoản tiền gửi này.

Như smartcontract giải thích trong tweet của mình, các giao dịch đúc ETH của Wormhole trên Solana đã kích hoạt hợp đồng thông minh của Wormhole chức năng triệu tập “Complete_wrapped“. Một trong những tham số mà hàm này nhận là “thông điệp truyền”, về cơ bản là nhắn có chữ ký của những người bảo vệ cây cầu cho biết nên đúc mã thông báo nào và số lượng bao nhiêu.

“Solana khá kỳ lạ, vì vậy những thông số này thực sự là hợp đồng thông minh. Nhưng điều quan trọng là những hợp đồng “thông điệp chuyển giao” này được tạo ra như thế nào. Đây là Giao dịch đã tạo ra thông báo chuyển 0,1 ETH, ”các tweet của smartcontracts.

Ai đang kiểm tra cờ?

Hợp đồng “tin nhắn chuyển” này được tạo bằng cách kích hoạt chức năng triệu tập “post_vaa“. Điều quan trọng nhất là post_vaa kiểm tra xem tin nhắn có hợp lệ hay không bằng cách kiểm tra chữ ký từ những người giám hộ. Phần đó có vẻ đủ hợp lý, smartcontracts nói, nhưng chính bước kiểm tra chữ ký này đã phá vỡ mọi thứ.

Hàm “post_vaa” không thực sự kiểm tra chữ ký. Thay vào đó, theo kiểu Solana điển hình, có một hợp đồng thông minh khác được tạo ra bằng cách gọi “verify_signatures” chức năng. Một trong những đầu vào đối với chức năng “verify_signatures” là một chương trình “hệ thống” được tích hợp sẵn của Solana chứa các tiện ích khác nhau mà hợp đồng có thể sử dụng.

Trong “verify_signatures”, chương trình Wormhole cố gắng kiểm tra xem quá trình thực thi đã xảy ra ngay trước khi chức năng này được kích hoạt hay chưa, có phải Secp256k1 chức năng xác minh chữ ký đã được thực hiện.

“Chức năng xác minh này là một công cụ được tích hợp sẵn để xác minh rằng các chữ ký đã cho là chính xác. Vì vậy, việc xác minh chữ ký đã được thuê ngoài chương trình này. Nhưng đây là nơi lỗi xuất hiện, “smartcontracts tweet.

Các hợp đồng Wormhole đã sử dụng chức năng load_instruction_at để kiểm tra xem hàm Secp256k1 có được gọi trước hay không, nhưng hàm load_instruction_at gần đây không được dùng nữa vì nó không kiểm tra xem nó có đang thực thi so với địa chỉ hệ thống thực tế hay không!

Trò chơi kết thúc

Theo hợp đồng thông minh, người gọi phải cung cấp đầu vào địa chỉ hệ thống cho chương trình đang được thực thi, nhưng tin tặc đã cung cấp một địa chỉ hệ thống khác.

Đây là địa chỉ hệ thống đang được sử dụng làm đầu vào cho “verify_signatures” cho khoản tiền gửi hợp pháp 0,1 ETH:

Nhưng đây là giao dịch “verify_signatures” cho khoản tiền gửi giả 120k ETH:

Đó không phải là địa chỉ hệ thống!

“Sử dụng chương trình hệ thống“ giả mạo ”này, kẻ tấn công có thể nói dối một cách hiệu quả về việc chương trình kiểm tra chữ ký đã được thực thi. Các chữ ký hoàn toàn không được kiểm tra! “, Các tweet của smartcontracts.

“Sau thời điểm đó, trò chơi đã kết thúc. Kẻ tấn công làm cho nó trông giống như những người bảo vệ đã ký vào một khoản tiền gửi 120k vào Wormhole trên Solana, mặc dù họ không làm như vậy. Tất cả những gì kẻ tấn công cần làm bây giờ là biến số tiền “chơi” của họ thành thực bằng cách rút nó trở lại Ethereum. Và một lần rút 80k ETH + 10k ETH sau đó (mọi thứ trong cầu trên Ethereum), mọi thứ đã biến mất ”.