Bugfix nicht ausgerollt: Krypto-Plattform verliert 320 Millionen Dollar

Seit zwei Wochen ist in der Software für die Handelsplattform Wormhole eine Sicherheitslücke bekannt, die es nun Angreifern ermöglichte, 320 Millionen US-Dollar zu stehlen. Obwohl ein Bugfix bekannt ist und der Pull Request für die Open-Source-Software angenommen wurde, konnten Unbekannte die Sicherheitslücke ausnutzen. Daraufhin verlor Wormhole 120.000 Ether-Token.

Bei Wormhole handelt es sich um eine Blockchain-Bridge. Bridges im Netzwerk ermöglichen es, Krypto-Tokens auf unterschiedlichen Blockchains zu verwenden. In diesem Fall verbindet Wormhole die Blockchains Terra, Solana, Ethereum, Binance Smart Chain, Avalanche und Polygon, wie Blockworks zuerst berichtete. Dies soll die Netzwerke zwar skalierbarer machen, bietet aber auch bösartigen Akteuren die Möglichkeit, Tokens an andere und weniger vertrauenswürdige Netzwerke zu senden.

Der Aktivist und Softwareentwickler Matthew Garrett spöttelt auf Twitter über den Fehler, durch den es zu dem Verlust kam. "Wenn ich ein lächerliches Kryptowährungsprogramm im Wert von Hunderten von Millionen Dollar betreiben würde, würde ich einfach keine Anleitungen veröffentlichen, wie man alles stehlen kann, ohne den Fix tatsächlich zu implementieren", schreibt er dort.

Signaturen vorgetäuscht

Ebenfalls auf Twitter rekonstruiert eine Person mit dem Pseudonym samczsun, wie der Diebstahl technisch abgelaufen sein könnte. Demnach wurden Signaturen vorgetäuscht - ermöglicht durch eine fehlerhafte Validierung der Eingaben der Nutzer. Somit konnten die Unbekannten selbst Ether-Tokens erstellen.

Die Betreiber von Wormhole bitten die Angreifer öffentlich, ein Bug Bounty in Höhe von 10 Millionen US-Dollar anzunehmen. Im Gegenzug sollen sie Informationen über den Angriffsvektor teilen und die erstellten Tokens zurückgeben. Die Nachricht wurde auf der Blockchain verfasst.