Selon Cointelegraph, le 27 août, Asymmetric Research a identifié un bug critique dans Noble-CCTP de Circle, un composant du protocole de transfert inter-chaînes USDC sur le réseau Cosmos.
L’entreprise de sécurité Web3 a signalé qu’un acteur malveillant aurait pu potentiellement contourner le processus de vérification de l’expéditeur du message du protocole pour créer de faux jetons USDC sur le pont Noble. Plus précisément, le gestionnaire Noble-CCTP « ReceiveMessage » acceptait les « BurnMessages » de n’importe quel expéditeur sans vérifier que le message était envoyé à partir d’une adresse « TokenMessenger » vérifiée sur la chaîne d’origine. Cette vulnérabilité aurait pu permettre à un attaquant d’exploiter le système et de déclencher des créations USDC malveillantes en envoyant un faux BurnMessage directement via un contrat CCTP MessageTransmitter, en utilisant l’adresse du module Noble-CCTP et l’ID de chaîne de Noble comme destination CCTP.
Asymmetric Research a précisé que le problème semblait initialement être un problème de mint infini, mais qu'il était limité par l'application par Noble d'une limite de mint d'environ 35 millions USDC. L'entreprise a conclu qu'aucun utilisateur n'avait perdu de fonds et qu'aucun acteur malveillant n'était en mesure d'exploiter la vulnérabilité. Circle a depuis remédié au bug logiciel.
Ce n’est pas la première fois que de telles vulnérabilités se produisent dans les ponts inter-chaînes. En mai 2024, un problème similaire a été découvert dans le pont Wormhole du réseau Aptos par CertiK, une autre société de sécurité blockchain. La vulnérabilité aurait pu entraîner une exploitation de 5 millions de dollars si elle n’avait pas été corrigée. Le pont Wormhole a déjà subi une exploitation importante en 2022, perdant 321 millions de dollars en raison d’un problème similaire.
La découverte de cette vulnérabilité critique par Asymmetric Research est une avancée positive pour l’USDC de Circle, qui pourrait éviter de graves conséquences si un acteur malveillant exploitait le bug. Un rapport récent d’ImmuneFi a révélé que près de 80 % des crypto-monnaies piratées ou exploitées ne se rétablissent jamais en termes de prix.