Investing.com – Der Wormhole Bridge-Hack, mit dem es verbunden ist, war eine der bisher dunkelsten Stunden des Netzwerks.
Im schlimmsten Fall könnte es sich um eine echte Katastrophe handeln, die die gesamte Kryptowelt in ihren Grundfesten erschüttern würde. Nur eine sofortige Entschädigung des angerichteten Schadens in Höhe von 120.000 Ether verhinderte, dass ganze Ökosysteme wie ein Kartenhaus zusammenbrechen.
Um zu verstehen, was passiert ist, und um uns vorzustellen, was passieren könnte, müssen wir uns genau ansehen, was Wormhole ist und wie die Plattform genau funktioniert.
Was ist eigentlich ein Wurmloch?
Ein Wurmloch ist eine sogenannte Brücke, die nur eine Funktion hat: verschiedene Blockchains miteinander zu verbinden. Dank dieser Verbindung ist es möglich, Transaktionen zwischen verschiedenen Blockchains selbst durchzuführen.
Wenn Sie Ethereum besitzen und am Solana-Projekt teilnehmen möchten, mussten Sie bisher Ether per Exchange in SOL umwandeln, was kompliziert war. Dieser Ansatz ist nicht mehr erforderlich, wenn eine Brücke wie ein Wurmloch verwendet wird. Sie hinterlegen ETH auf der einen Seite und erhalten WETH-kompatibel mit Solana auf der anderen Seite im Verhältnis 1:1.
Genau dieses Arbeitsmuster zwischen Ethereum und Solana haben die Hacker ausgenutzt. Der Plan war, gelinde gesagt, eine Reihe unglücklicher Umstände auszunutzen. Indem man die Linie aufzwingt, könnte man sagen, dass die Dummheit der verschiedenen Beteiligten in kaltes hartes Geld verwandelt werden sollte.
Wie kam es zu dem Angriff?
Bereits am 12. Oktober meldete Solana eine Sicherheitslücke. Aber anstatt direkt zu handeln und Wormhole über die Situation zu informieren, bündelten die Entwickler den Fix in einem regulären Update, das mit Version 1.9.4 ausgeliefert werden sollte.
Sie glaubten fälschlicherweise, dass niemand die Sicherheitslücke entdecken würde, obwohl der Code öffentlich zugänglich war. Damals war es jedem mit fortgeschrittenen Softwarekenntnissen möglich, die Schwachstelle zu identifizieren und auszunutzen. Beamte haben es einfach versäumt, die Schwachstelle mit einem Hotfix zu beheben.
Jeff Galloway, ein Blockchain-Experte und Gründer der SafeCoin-Blockchain für die Solana-Community, sagte in einem Interview mit Investing.com Folgendes:
“Das Verstecken wichtiger Sicherheitsfixes in öffentlichen Updates, die nicht sofort implementiert wurden, ist eine sehr unglückliche und sehr fahrlässige Taktik. Sobald der Fehler bekannt wurde, sollte Wormhole sofort ein Notfall-Update veröffentlichen.”
Die Tatsache, dass die Sicherheitsverletzung auf der Solana-Website bekannt war, ist eine unbestreitbare Tatsache. Dies wird öffentlich protokolliert als “Nicht sicher, da die Adresse des Sysvar-Kontos nicht überprüft wurde, bitte verwenden Sie stattdessen ‘load_instruction_at_checked'”.
Jeff Galloway kommentierte diesen erschreckenden Vorfall wie folgt:
“Solana hat am 12. Oktober 2021 ein Update veröffentlicht, das eindeutig zeigt, dass es eine Schwachstelle gab. Aber der fehlerhafte Code wurde nicht entfernt, Wormhole erhielt keine Benachrichtigung und es wurde kein Notfall-Update durchgeführt. Die ungesicherte Funktionalität war lediglich Gegenstand eines sichtbaren Hinweises auf jedermann.”
Es ist also klar, dass Solana seit Monaten von der Sicherheitslücke wusste und absolut nichts unternommen hat. Es bleibt abzuwarten, wie viele Beamte davon erfuhren und warum wir lieber saßen als arbeiteten.
Ethereum hatte ein ähnliches Problem
Jedenfalls ist dies keine gängige Praxis. Als Windows-Benutzer sind wir in den letzten Jahrzehnten sicherlich daran gewöhnt, mit Schwachstellen zu leben, aber wir tätigen auch keine Hunderte Millionen Dollar an Transaktionen.
Letztes Jahr lieferte Ethereum ein großartiges Beispiel dafür, wie man es richtig macht. Ein ähnlich kritischer Fehler wurde in der Ethereum Virtual Machine (EVM) entdeckt, aber die Reaktion erfolgte sofort und es wurde ein Hard Fork eingerichtet.
Das Wurmloch ignoriert die Sicherheitslücke
Nachdem Solana sein Geschäft eingestellt hatte, bemerkten die Entwickler von Wormhole die Schwachstelle am 11. Januar 2022. Auch hier gab es die Möglichkeit, das Problem sofort zu beheben, aber nichts geschah.
Es gibt nur zwei Möglichkeiten. Was die Beamten betrifft, haben sie das Ausmaß der Sicherheitsverletzung nicht verstanden oder hatten sie nicht die Zeit, sich mit dem Problem zu befassen? Die Sicherheitslücke, die bald zum Feature des Gelddruckens werden sollte, blieb also bestehen.
Am 2. Februar 2022 veröffentlichte Wormhole weniger als neun Stunden nach dem Angriff einen öffentlich verfügbaren Sicherheitspatch für ein zukünftiges Update.
Jeff Galloway fasste die Veranstaltung wie folgt zusammen:
„Ein Mangel an Kommunikation, das Versäumnis, auf kritische Probleme zu reagieren, und menschliches Versagen ermöglichten diesen hochwirksamen Angriff, der von Solanas Klinge ausging.“
Hätte der Angriff verhindert werden können?
Der Verlauf dieses Vorfalls zeigt deutlich, dass es verschiedene Interventionsmöglichkeiten gab. Stattdessen scheint man bewusst in Kauf genommen zu haben, dass Monate vergehen, ohne etwas zu tun.
Eine von Jeff Galloway bestätigte Schätzung:
„Wenn zu irgendeinem Zeitpunkt in diesem Prozess, zwischen dem 12. Oktober 2021 und dem 2. Februar 2022, irgendjemand (Solana, Wormhole oder etwas anderes) die grundlegenden Sicherheitsrichtlinien befolgt hätte, um auf ein ernstes Sicherheitsproblem zu reagieren, wäre dieser Angriff nicht passiert .“
Aber wenn man glaubt, dass die ganze Geschichte so erzählt wurde, irrt man sich ernsthaft.
Es ist normal, dass beim Erstellen einer Plattform Sicherheitslücken auftreten. Aber wenn es nicht ausgefüllt wurde, als es bekannt war, ist es menschliches Versagen. Ein Problem, das so häufig vorkommt, dass es bei der Entwicklung berücksichtigt werden musste.
Doch der massive Entwicklungsdruck, der rein wirtschaftlichen Interessen folgt, verhinderte dies.
Jeff Galloway sagte dazu gegenüber Investing.com:
„Wenn Wormhole als redundantes Backup-System und nicht als Schwachstelle konzipiert wäre, würde dieser Angriff nicht stattfinden, selbst wenn die Angreifer sich der Schwachstelle bewusst wären.
Wenn Wormhole ein öffentliches Testnetzwerk hätte, würde dies wiederum angemessene Sicherheitsmaßnahmen durchsetzen und möglicherweise einen Angriff verhindern.“
Wenn Jeff Galloway genau weiß, wovon er spricht, dann deshalb, weil er an der Entwicklung von SafeBridge beteiligt war. Die Plattform, die als Sprungbrett für das wachsende Ökosystem der SafeCoin-Blockchain dienen wird.
Es enthält redundante Sicherheitsprüfungen, die sicherstellen, dass jede Transaktion den grundlegenden Konsensregeln für alle beteiligten Threads entspricht. Es gibt auch ein öffentliches Testnetz. Alles, was Wormhole fehlt, ist die Theorie der langen Vergangenheit.
SafeBridge wurde bereits in einem öffentlichen Testnetzwerk veröffentlicht und jeder kann es gründlich testen.
In Bezug auf die SafeBridge-Entwicklung erklärte Galloway:
„Jede Blockchain-Brücke muss gebaut werden, um der ernsthaftesten Sicherheitsbedrohung, die es gibt, standzuhalten: menschlichem Versagen.
Im Falle einer Brücke zwischen mehreren Projekten kann dies nur durch erhöhte Sicherheit erreicht werden, indem die zuverlässigsten Validierungen für jede Blockchain verwendet werden. Genau das entwickeln wir. Soweit ich weiß, sind wir die ersten auf diesem Gebiet.
Wir hoffen immer noch, ein öffentliches Wurmloch-Testnetzwerk zu erstellen. Aber in der Zwischenzeit nutzt und testet die Community unser Netzwerk gerne kostenlos. “
Die genaue Funktionsweise von SafeBridge können Sie der obigen Tabelle entnehmen. Im Prinzip zeigt es, wie jede Brücke funktioniert. Die grün markierten Bereiche hingegen sind Erweiterungen, die nur SafeBridge besitzt.
Um es verständlicher zu machen, haben wir Jeff Galloway gefragt, ob er uns ein Beispiel geben könnte. Zeigen Sie hier Ihren Sinn für Humor bei der Stellenbeschreibung mit einem Locher.
Wurmloch: Transfer von 127.000 ETH von Solana zu Ethereum:
Smart Contract on Solana Verifications: „Klingt gut für mich!“
Der Holeshot fragt: “Geht es allen gut?” Die Guardians antworteten: „Ja, natürlich! Wenn der Smart Contract sagt, dass alles in Ordnung ist, sollte es in Ordnung sein!“
Wurmloch: „Ok Ethereum, hier sind 127.000 ETH.“
Ethereum: „Vielen Dank!“SafeBridge: Übertrage 127.000 ETH von Solana nach Ethereum:
Smart Contract on Solana Verifications: „Klingt gut für mich!“
SafeBridge: “Wow! Hey Ethereum, nur um sicherzugehen, haben diese Leute 127.000 ETH eingezahlt?”
Ethereum: “Entschuldigung? Nein, sie haben nur 0,1 ETH eingezahlt.”
SafeBridge: Zahlung derzeit nicht möglich.
Am Ende bleibt also abzuwarten, dass die Katastrophe komplett hausgemacht war – das Ergebnis menschlicher Fehler und mangelnder technischer Kenntnisse.
Fairerweise muss gesagt werden, dass dies kein Einzelfall ist. Die Betonung der Geschäftsentwicklung besteht darin, dass neue Features für die Benutzer Vorrang vor Sicherheitsaspekten haben.
Aber das verbessert die Situation nicht, ganz im Gegenteil. In einer Welt der vernetzten Blockchains, in der DeFi-Protokolle automatisierte Transaktionen untereinander implementieren, steigt das Potenzial für eine große Katastrophe.
Wenn eine große Menge Kapital an einem Ort verschwindet, könnte das gesamte Kartenhaus zusammenbrechen, wie die Pleite von Lehman Brothers, die 2008 eine globale Finanzkrise auslöste.
Umso wichtiger war dieser Blick hinter die Kulissen. Vielen Dank an Jeff Galloway von SafeCoin, der uns seine wertvolle Zeit geschenkt hat, um uns einen vollständigen Überblick über die Situation zu geben.
Der Vollständigkeit halber hier die offizielle Reaktion von Jump Crypto, dem Besitzer des Wurmlochs.
„Heute bin ich stolz auf alle im Team von Jump and Wormhole. Sie haben in einer sehr schwierigen Situation unglaubliche Ausdauer und Energie gezeigt.“
„Jump hat 120.000 in seine ETH investiert, weil wir an das Wurmloch glauben und es an diesem Punkt in seiner Entwicklung unterstützen wollen.“
Von Marco Uhrl