-CertiK objevil hlavní zranitelnost v Aptos' Wormhole bridge, která by mohla vést k hacknutí za 5 milionů dolarů.
-Chyba pramenila z nedostatků v implementaci programovacího jazyka MOVE, což hackerům usnadnilo krádež finančních prostředků.
-Tým Wormhole opravil zranitelnost během tří hodin a přidal zabezpečení, aby se zabránilo budoucím hackům.
-Wormhole byla zneužita již dříve, přičemž předchozí hack způsobil v roce 2022 ztrátu 320 milionů dolarů.
Major Bug chycený v Wormhole Bridge, prevence potenciální katastrofy
Blockchainová bezpečnostní společnost nedávno odvrátila potenciální katastrofu zachycením významné chyby v mostu Wormhole v síti Aptos. Pokud by tuto chybu objevili zlomyslní aktéři, mohla by vést ke krachu a tisícům zdevastovaných investorů.
Hrozba 5 milionů dolarů
Pokud by tuto zranitelnost našla nesprávná osoba, investoři Aptosu by mohli čelit neoprávněným převodům v celkové výši 5 milionů USD. To by přidalo na rostoucí seznam hacků, které sužují kryptosvět v roce 2024.
Výhoda programování MOVE
Aptos, relativně nový blockchain, je postaven na iniciativě Libra Facebooku a používá programovací jazyk MOVE. MOVE je známý svými pokročilými bezpečnostními funkcemi, které nabízejí robustnější možnosti pro vytváření chytrých smluv ve srovnání s Solidity Ethereum.
Kritický objev
CertiK, bezpečnostní firma pro blockchain, zjistila, že zranitelnost pramenila z chyb v modifikátorech 'public(friend)' a 'entry' v MOVE. Tyto modifikátory řídí přístup k funkcím a zabraňují neoprávněným uživatelům v přístupu k nim. Bylo však zjištěno, že jsou vystaveni jakémukoli volajícímu, což představuje značné riziko.
Možné důsledky
Tato chyba mohla hackerům umožnit simulovat přenosy tokenů mezi účty, aniž by ve skutečnosti žádné tokeny přesunuli. To by přimělo části mostu Wormhole založené na Ethereu, aby uvolnily skutečné tokeny, což by útočníkovi umožnilo odčerpat finanční prostředky.
Rychlá odezva a oprava
CertiK nahlásil chybu týmu Wormhole, který okamžitě začal pracovat na opravě. Za pouhé tři hodiny byla zranitelnost opravena a protokol byl testován, aby byla zajištěna bezpečnost.
Rozšířená bezpečnostní opatření
Po opravě zavedl tým Wormhole další ochranná opatření, jako je snížení „limitů guvernérských sazeb“, aby bylo možné vybírat pouze 1 milion dolarů za den. Toto opatření zajišťuje, že v případě budoucích hacků je maximální potenciální ztráta minimalizována na 1 milion dolarů, což usnadňuje vystopování hackerů.
Zajištění bezpečnosti uživatelů
Wormhole potvrdil, že nedošlo ke ztrátě žádných uživatelských prostředků, a zopakoval svůj závazek udržovat uživatelská aktiva v bezpečí. Tento incident připomíná podobnou událost z února 2022, kdy zranitelnost mezi smart kontrakty Ethereum a Solana vedla ke krádeži 120 000 zabalených tokenů Ether (wETH) v tehdejší hodnotě kolem 320 milionů dolarů. V únoru 2023 se společnostem Web3 Jump Crypto a Oasis.app podařilo získat zpět 225 milionů dolarů od hackera protokolu Wormhole.
Závazek k bezpečnosti
Proaktivní úsilí Wormhole a CertiK zdůrazňuje důležitost bdělosti v blockchainovém ekosystému. Jejich odhodlání identifikovat a řešit nedostatky pomáhá udržovat důvěru a bezpečnost v rychle se vyvíjejícím světě kryptoměn.
---
Prohlášení: Voice of Crypto si klade za cíl poskytovat přesné a aktuální informace, ale nenese odpovědnost za chybějící fakta nebo nepřesnosti. Kryptoměny jsou vysoce volatilní finanční aktiva, proto proveďte důkladný průzkum a udělejte svá vlastní finanční rozhodnutí.
