-CertiK odkrył poważną lukę w mostku czasoprzestrzennym Aptos, która może prowadzić do włamania na kwotę 5 milionów dolarów.
— Błąd wynikał z błędów w implementacji języka programowania MOVE, co ułatwiło hakerom kradzież środków.
-Zespół Wormhole załatał lukę w ciągu trzech godzin i dodał zabezpieczenia zapobiegające przyszłym włamaniom.
- Tunel czasoprzestrzenny był już wykorzystywany, a poprzednie włamanie spowodowało stratę 320 milionów dolarów w 2022 roku.
Poważny błąd złapany w mostku czasoprzestrzennym, zapobiegający potencjalnej katastrofie
Firma zajmująca się bezpieczeństwem blockchain zapobiegła niedawno potencjalnej katastrofie, wyłapując znaczący błąd w moście Wormhole w sieci Aptos. Wada ta, gdyby została wykryta przez złośliwe podmioty, mogła doprowadzić do krachu i załamania tysięcy inwestorów.
Groźba 5 milionów dolarów
Gdyby ta luka została odkryta przez niewłaściwą osobę, inwestorzy Aptos mogliby stanąć w obliczu nieautoryzowanych transferów na łączną kwotę 5 milionów dolarów. Dodałoby to do rosnącej listy hacków nękających świat kryptowalut w 2024 roku.
Zalety programowania MOVE
Aptos, stosunkowo nowy blockchain, powstał w oparciu o inicjatywę Libra Facebooka i wykorzystuje język programowania MOVE. MOVE jest znane z zaawansowanych funkcji bezpieczeństwa, oferujących solidniejsze opcje tworzenia inteligentnych kontraktów w porównaniu do Solidity Ethereum.
Krytyczne odkrycie
CertiK, firma zajmująca się bezpieczeństwem blockchain, odkryła, że luka wynika z błędów w modyfikatorach „public(friend)” i „entry” w MOVE. Modyfikatory te kontrolują dostęp do funkcji i uniemożliwiają dostęp do nich nieupoważnionym użytkownikom. Stwierdzono jednak, że byli narażeni na kontakt z dowolną osobą dzwoniącą, co stwarzało znaczne ryzyko.
Potencjalne konsekwencje
Ta luka mogła umożliwić hakerom symulowanie transferów tokenów między kontami bez faktycznego przenoszenia jakichkolwiek tokenów. Spowodowałoby to oszukanie części mostu czasoprzestrzennego opartych na Ethereum do uwolnienia rzeczywistych tokenów, umożliwiając atakującemu wyssanie środków.
Szybka reakcja i naprawa
CertiK zgłosił usterkę zespołowi Wormhole, który natychmiast zaczął pracować nad poprawką. W ciągu zaledwie trzech godzin luka została załatana, a protokół przetestowano pod kątem bezpieczeństwa.
Wzmocnione środki bezpieczeństwa
Po naprawie zespół Wormhole wdrożył dodatkowe zabezpieczenia, takie jak zmniejszenie „limitów stawek gubernatora”, aby umożliwić wypłaty wynoszące jedynie 1 milion dolarów dziennie. Dzięki temu rozwiązaniu w przypadku przyszłych włamań maksymalna potencjalna strata zostanie zminimalizowana do 1 miliona dolarów, co ułatwi wyśledzenie hakerów.
Zapewnienie bezpieczeństwa użytkownika
Wormhole potwierdził, że żadne środki użytkownika nie zostały utracone i ponownie potwierdził swoje zaangażowanie w zapewnienie bezpieczeństwa zasobów użytkowników. Incydent ten przypomina podobne wydarzenie z lutego 2022 r., kiedy luka w zabezpieczeniach inteligentnych kontraktów Ethereum i Solana doprowadziła do kradzieży 120 000 opakowanych tokenów Ether (wETH) o wartości wówczas około 320 milionów dolarów. W lutym 2023 r. firmom Web3 Jump Crypto i Oasis.app udało się odzyskać 225 milionów dolarów od hakera obsługującego protokół Wormhole.
Zaangażowanie w bezpieczeństwo
Proaktywne wysiłki Wormhole i CertiK podkreślają znaczenie czujności w ekosystemie blockchain. Ich zaangażowanie w identyfikowanie i eliminowanie wad pomaga utrzymać zaufanie i bezpieczeństwo w szybko rozwijającym się świecie kryptowalut.
---
Zastrzeżenie: Voice of Crypto ma na celu dostarczanie dokładnych i aktualnych informacji, ale nie ponosi odpowiedzialności za brakujące fakty lub nieścisłości. Kryptowaluty są aktywami finansowymi charakteryzującymi się dużą zmiennością, dlatego należy przeprowadzić dokładne badania i podejmować własne decyzje finansowe.