Il 27 agosto, Asymmetric Research ha rivelato di aver identificato un bug critico nel Noble-CCTP di Circle, un componente del protocollo di trasferimento cross-chain USDC (USDC), sulla rete Cosmos.

Secondo l'azienda di sicurezza Web3, un malintenzionato avrebbe potuto potenzialmente eludere il processo di verifica del mittente del messaggio del protocollo di trasferimento cross-chain per coniare falsi token USDC sul bridge Noble.

Più specificamente, il gestore "ReceiveMessage" di Noble-CCTP accettava "BurnMessages" da qualsiasi mittente senza prima verificare che il messaggio di bridging fosse stato inviato da un indirizzo "TokenMessenger" verificato sulla catena originale. L'azienda di sicurezza ha descritto la vulnerabilità in modo più dettagliato:

"Un aggressore avrebbe potuto sfruttare questa situazione e innescare criptovalute USDC dannose inviando un falso BurnMessage direttamente tramite un contratto CCTP MessageTransmitter, utilizzando l'indirizzo del modulo Noble-CCTP e la catena-ID di Noble come destinazione CCTP."

Asymmetric Research ha spiegato che inizialmente il problema sembrava essere un problema di conio infinito, ma non poteva essere dovuto all'applicazione da parte di Noble di un limite di conio di circa 35 milioni di USDC.

Un grafico che spiega i diversi componenti del CCTP. Fonte: Asymmetric Research

L'azienda di sicurezza Web3 ha concluso osservando che nessun utente ha perso fondi e nessun malintenzionato è stato in grado di sfruttare con successo la vulnerabilità e lanciare un attacco. Al momento in cui scrivo, Circle ha rimediato al bug del software.

Il ponte a croce Noble di Circle non è l'unico

A maggio 2024, una vulnerabilità simile è stata identificata nel Wormhole bridge sulla rete Aptos. CertiK, un'altra azienda di sicurezza blockchain, ha scoperto la debolezza che avrebbe portato a un exploit da 5 milioni di dollari se la vulnerabilità non fosse stata identificata e risolta.

La vulnerabilità critica di Wormhole è stata causata da un problema con la funzione "publish_event", che consente a chiunque di chiamare il contratto e coniare token falsi.

Tuttavia, Wormhole non è sempre stato così fortunato quando si tratta di affrontare in modo proattivo le vulnerabilità. Nel 2022, il protocollo di bridging ha perso 321 milioni di dollari in un exploit di alto profilo che ha consentito a un utente di coniare token falsi.

Quasi l’80% delle criptovalute hackerate non recuperano il prezzo

La scoperta della vulnerabilità critica da parte di Asymmetric Research è di buon auspicio per l’USDC di Circle, che potrebbe aver subito conseguenze derivanti dal fatto che un malintenzionato abbia sfruttato la vulnerabilità.

Un recente rapporto di ImmuneFi condiviso con Cointelegraph ha rivelato che quasi l'80% delle criptovalute hackerate o sfruttate non recupera mai in termini di prezzo.

Rivista: Strano hack di iVest con “indirizzo nullo”, milioni di PC ancora vulnerabili al malware “Sinkclose”: Crypto-Sec