コインテレグラフによると、8月27日、アシンメトリック・リサーチは、コスモスネットワーク上のUSDCクロスチェーン転送プロトコルのコンポーネントであるサークルのノーブルCCTPに重大なバグを発見した。
Web3 セキュリティ会社は、悪意のある人物がプロトコルのメッセージ送信者検証プロセスを回避し、Noble ブリッジで偽の USDC トークンを鋳造する可能性があると報告しました。具体的には、Noble-CCTP の「ReceiveMessage」ハンドラーは、メッセージが元のチェーン上の検証済みの「TokenMessenger」アドレスから送信されたことを検証せずに、任意の送信者からの「BurnMessages」を受け入れていました。この脆弱性により、攻撃者はシステムを悪用し、Noble-CCTP モジュール アドレスと Noble のチェーン ID を CCTP の宛先として使用して、CCTP MessageTransmitter 契約を介して偽の BurnMessage を直接送信することで、悪意のある USDC 鋳造をトリガーできる可能性があります。
Asymmetric Research は、この問題は当初、無限のミントの不具合のように見えたが、Noble が約 3,500 万 USDC のミント制限を施行したことにより制限されたと明らかにした。同社は、資金を失ったユーザーはおらず、悪意のある人物が脆弱性を悪用することもなかったと結論付けた。Circle はその後、ソフトウェアのバグを修正した。
クロスチェーンブリッジにおけるこのような脆弱性は今回が初めてではない。2024年5月、別のブロックチェーンセキュリティ企業であるCertiKが、Aptosネットワーク上のワームホールブリッジで同様の問題を発見した。この脆弱性は、対処されなければ500万ドルの損害につながる恐れがあった。ワームホールブリッジは2022年にも同様の問題で3億2100万ドルの損害を被った重大な被害に遭っている。
Asymmetric Research による重大な脆弱性の発見は、Circle の USDC にとって前向きな展開であり、悪意のある人物がバグを悪用して深刻な結果を招くのを防ぐ可能性がある。ImmuneFi の最近のレポートによると、ハッキングまたは悪用された暗号通貨の約 80% は価格面で回復しないことが明らかになった。