CertiK揭示Solana跨链桥虫洞事件

2022年2月3日清晨1点58分，北京时刻，Solana跨链桥项目虫洞（Wormhole）遭受了一次黑客进犯。进犯者成功绕过了Solana上Wormhole跨链桥的验证进程，并铸造了WormholeETH（wETH）代币。

在该进犯中，进犯者运用了一个欺骗性的sysvar账户来绕过系统验证进程，并成功生成了一条歹意音讯，指定要铸造12万个wETH。最后，进犯者通过调用歹意音讯中的complete_wrapped函数，成功铸造了12万个wETH代币，总价值约为3.2亿美元。

这次进犯造成了巨大的损失，成为DeFi历史上第二大黑客进犯事件。

虫洞（Wormhole）是衔接宇宙中两个不一起空的狭隘地道，也被称为爱因斯坦-罗森桥。在科学和科幻小说中，这个概念都有相似的含义和用处。

在虫洞跨链桥协议（Wormhole Protocol）中，它充当了衔接以太坊和其他区块链的桥梁。简略来说，它帮助咱们节约交易时刻和周期，避免了在以太坊网络拥堵时的交易延迟。

进犯者运用的缝隙进程如下：
第一步：进犯者运用一个假的sysvar账户调用了”verify_signatures”函数，绕过了验证进程。
第二步：进犯者运用验证过的签名调用了”post_vaa”函数，并创建了一个歹意音讯账户，声明要铸造12万个wETH。
第三步：进犯者调用了”complete_wrapped”函数，读取了歹意音讯账户中的数据，并铸造了12万个wETH。
第四步：部分铸造的wETH被转移到了以太坊，其余部分转移到了USDC和SOL。

这个缝隙的底子原因是在验证签名进程（verify_signatures）中运用了一个已被抛弃的函数load_current_index。该函数无法验证输入的sysvar账户是否真的是systemsysvar账户，进犯者可以运用这个缝隙假造关键账户。

为了避免类似问题的再次发生，所有运用这个函数的账户都应进行检查和验证。特别是在这种情况下，由于部分检查进程依赖于外部调用，对外部调用的可靠性过于信任，导致了危险的发生。

现在，Wormhole团队已修正了缝隙并康复了网络。CertiK对开发者提出以下建议：在运用外部依赖函数时，开发者需求对该函数有足够的了解。及时关注外部依赖代码库的重要更新，并在有严重版别变化时及时调整自己的代码库。在代码版别更新时，需求进行全面审计，并及时将审计代码更新到已布置的链代码中。

CertiK是一家拥有2500家企业客户认可的安全审计公司，保护了超越3110亿美元的数字财物免受损失。如果您需求咨询和报价，欢迎点击CertiK微信官方账号底部对话框留言免费咨询。祝大家在新的一年里好运连连，一起期望每个项目通过严格审计后在线布置，以获得更高的安全性，削减财产损失的可能性。

此时快讯

【Circle正在考虑在日本发行稳定币】金色财经报道，Circle联合创始人兼首席执行官Jeremy Allaire表示，鉴于日本管理稳定币的立法于6月1日生效，Circle正在考虑在日本发行稳定币。如果稳定币更广泛地应用于跨境贸易、外币交易和全球商业，日本将成为一个极其庞大的市场。