Una falla de seguridad en el puente Wormhole en la red Aptos podría haber resultado en pérdidas por valor de $5 millones si no se hubiera descubierto, según una publicación en las redes sociales de la plataforma de seguridad blockchain CertiK. La plataforma afirmó haber descubierto el error y lo informó al equipo de Wormhole antes de que pudiera ser eliminado. La falla ha sido reparada y el puente ya no es vulnerable.
Fuente: CertiK.
Aptos es una red blockchain que utiliza el lenguaje de programación MOVE, desarrollado originalmente por Facebook para el proyecto Libra. Los partidarios de MOVE afirman que es un lenguaje más seguro para redactar contratos inteligentes en comparación con Solidity de Ethereum u otras alternativas.
El informe de CertiK se publicó en forma de vídeo. Afirmó que la falla "surgió de una implementación incorrecta de los modificadores 'público (amigo)' y 'entrada' en el lenguaje de programación MOVE". El modificador 'público (amigo)' permite que otras funciones dentro del mismo módulo o cuentas externas especificadas en una "lista de amigos" llamen a una función, pero no otras personas que llaman. Por otro lado, el modificador "entrada" especifica que cualquier cuenta externa puede llamar a una función.
El puente contenía una función llamada "publish_event", que se utilizaba para anunciar eventos como transferencias de tokens. Se suponía que solo podía ser invocado por otras funciones dentro del mismo módulo o por ciertas "entidades externas especificadas". Sin embargo, en la versión del puente que estudió CertiK, la función fue modificada tanto por "público (amigo)" como por "entrada". Esto hizo posible que cualquiera llamara a "publish_event", incluso si no era un llamante aprobado.
Debido a esta falla, un atacante podría haber creado transacciones falsas que parecían mover tokens de una cuenta a otra, aunque no se estuvieran moviendo tokens reales. Estos "eventos" podrían haber provocado que la versión Ethereum del puente acuñe o desbloquee tokens sin tener ningún depósito real que los respalde en el lado de Aptos. Como resultado, el atacante podría haber drenado hasta 5 millones de dólares en fondos del puente, afirmó CertiK.
CertiK informó a los miembros del equipo de Wormhole sobre la falla el 5 de diciembre de 2023. Después de investigar el informe, el equipo desarrolló y probó un parche para cerrar la brecha de seguridad e informó a los Guardianes del protocolo sobre el problema. Mediante una votación de firmas múltiples, los Guardianes aprobaron la implementación del parche y el contrato Aptos del protocolo se actualizó para implementar el nuevo código. Una vez que se informó la falla, el proceso de reparación tomó aproximadamente tres horas y la nueva versión del puente ya no es vulnerable a este exploit.
Wormhole Aptos explota la línea de tiempo. Fuente: CertiK.
Además de eliminar la palabra clave "entrada" de la función publicar_event, el nuevo parche también restringió el valor de los "límites de tasa del gobernador" en Aptos de $5 millones a $1 millón, impidiendo efectivamente retiros de Aptos de más de $1 millón por día. Esto se hizo para limitar las pérdidas en caso de un futuro exploit. El uso actual es inferior a 1 millón de dólares por día, afirmó CertiK, lo que implica que el límite de tarifa no debería afectar a la mayoría de los usuarios.
Wormhole también realizó un "análisis retrospectivo" para determinar si los fondos de algún usuario se habían visto afectados por el problema. Concluyeron que no se habían transferido fondos ilícitamente y que los saldos de los usuarios estaban seguros.
Wormhole no siempre ha logrado detectar fallas de seguridad antes de que sean explotadas. En 2022, perdió más de 321 millones de dólares cuando un error en la parte Solana del puente permitió a un atacante acuñar tokens sin respaldo. Sin embargo, el equipo posteriormente solucionó el error y compensó a los usuarios. En enero, Wormhole recuperó mil millones de dólares en valor total bloqueado por primera vez desde el incidente, lo que demuestra que algunos usuarios sienten que sus prácticas de seguridad han mejorado.
Relacionado: Los errores en la bifurcación de Gains Network permiten a los operadores obtener ganancias del 900% en cada operación: Informe
