-CertiK descubrió una vulnerabilidad importante en el puente Wormhole de Aptos, lo que podría conducir a un hackeo de 5 millones de dólares.
-El error se debió a fallas en la implementación del lenguaje de programación MOVE, lo que facilita que los piratas informáticos roben fondos.
-El equipo de Wormhole parchó la vulnerabilidad en tres horas y agregó medidas de seguridad para evitar futuros ataques.
-Wormhole ha sido explotado antes, y un ataque anterior causó una pérdida de 320 millones de dólares en 2022.
Error importante atrapado en el puente del agujero de gusano, evitando posibles desastres
Una empresa de seguridad blockchain evitó recientemente una posible catástrofe al detectar un error importante en el puente Wormhole de la red Aptos. Esta falla, si fue descubierta por actores maliciosos, podría haber provocado una caída y miles de inversores devastados.
La amenaza de los 5 millones de dólares
Si la persona equivocada hubiera descubierto esta vulnerabilidad, los inversores de Aptos podrían haberse enfrentado a transferencias no autorizadas por un total de 5 millones de dólares. Esto se habría sumado a la creciente lista de hacks que plagarán el mundo de las criptomonedas en 2024.
La ventaja de la programación MOVE
Aptos, una cadena de bloques relativamente nueva, se basa en la iniciativa Libra de Facebook y utiliza el lenguaje de programación MOVE. MOVE es conocido por sus funciones de seguridad avanzadas, que ofrecen opciones más sólidas para la creación de contratos inteligentes en comparación con Solidity de Ethereum.
El descubrimiento crítico
CertiK, la empresa de seguridad blockchain, descubrió que la vulnerabilidad se debía a errores en los modificadores "público (amigo)" y "entrada" en MOVE. Estos modificadores controlan el acceso a las funciones y evitan que usuarios no autorizados accedan a ellas. Sin embargo, se descubrió que estaban expuestos a cualquier persona que llamara, lo que representa un riesgo significativo.
Consecuencias potenciales
Esta falla podría haber permitido a los piratas informáticos simular transferencias de tokens entre cuentas sin mover ningún token. Esto habría engañado a las partes del puente Wormhole basadas en Ethereum para que liberaran tokens reales, lo que permitiría al atacante drenar fondos.
Respuesta rápida y solución
CertiK informó la falla al equipo de Wormhole, quien inmediatamente comenzó a trabajar para solucionarla. En solo tres horas, se solucionó la vulnerabilidad y se probó el protocolo para garantizar la seguridad.
Medidas de seguridad mejoradas
Después de la solución, el equipo de Wormhole implementó salvaguardas adicionales, como reducir los "límites de tasa del gobernador" para permitir solo $1 millón en retiros por día. Esta medida garantiza que, en caso de futuros ataques, la pérdida potencial máxima se minimice a 1 millón de dólares, lo que facilita la localización de los piratas informáticos.
Garantizar la seguridad del usuario
Wormhole confirmó que no se perdieron fondos de los usuarios y reiteró su compromiso de mantener seguros los activos de los usuarios. Este incidente recuerda un evento similar en febrero de 2022, cuando una vulnerabilidad entre los contratos inteligentes de Ethereum y Solana provocó el robo de 120.000 tokens de Ether (wETH) envueltos por un valor de alrededor de 320 millones de dólares en ese momento. En febrero de 2023, las empresas Web3 Jump Crypto y Oasis.app lograron recuperar 225 millones de dólares del hacker del protocolo Wormhole.
Compromiso con la seguridad
Los esfuerzos proactivos de Wormhole y CertiK resaltan la importancia de la vigilancia en el ecosistema blockchain. Su compromiso de identificar y abordar fallas ayuda a mantener la confianza y la seguridad en el mundo de las criptomonedas en rápida evolución.
---
Descargo de responsabilidad: Voice of Crypto tiene como objetivo brindar información precisa y actualizada, pero no será responsable de datos faltantes o imprecisiones. Las criptomonedas son activos financieros muy volátiles, así que realice una investigación exhaustiva y tome sus propias decisiones financieras.
