CertiK descubrió una falla de seguridad de $ 5 millones en el puente Wormhole en Aptos

Cointelegraph · 2024-05-13T19:53:09.000Z

Una falla de seguridad en el puente Wormhole en la red Aptos podría haber resultado en pérdidas por valor de $5 millones si no se hubiera descubierto, según una publicación en las redes sociales de la plataforma de seguridad blockchain CertiK. La plataforma afirmó haber descubierto el error y lo informó al equipo de Wormhole antes de que pudiera ser eliminado. La falla ha sido reparada y el puente ya no es vulnerable. Fuente: CertiK. Aptos es una red blockchain que utiliza el lenguaje de programación MOVE, desarrollado originalmente por Facebook para el proyecto Libra. Los partidarios de MOVE afirman que es un lenguaje más seguro para redactar contratos inteligentes en comparación con Solidity de Ethereum u otras alternativas.

O defecțiune de securitate în podul Wormhole de pe rețeaua Aptos ar fi putut duce la pierderi în valoare de 5 milioane de dolari dacă nu ar fi fost descoperită, potrivit unei postări pe rețelele sociale de la platforma de securitate blockchain CertiK. Platforma a susținut că a descoperit eroarea și a raportat-o ​​echipei Wormhole înainte de a putea fi explicată. Defectul a fost remediat, iar podul nu mai este vulnerabil.
Sursa: CertiK.
Aptos este o rețea blockchain care utilizează limbajul de programare MOVE, care a fost dezvoltat inițial de Facebook pentru proiectul Libra. Susținătorii MOVE susțin că este un limbaj mai sigur să scrieți contracte inteligente în comparație cu Solidity lui Ethereum sau alte alternative.
Raportul CertiK a fost postat sub forma unui videoclip. Acesta a susținut că defectul „a apărut dintr-o implementare incorectă a modificatorilor „public (prieten)” și „intrare” în limbajul de programare MOVE”. Modificatorul „public(prieten)” permite ca o funcție să fie apelată de alte funcții din același modul sau de conturi externe specificate pe o „listă de prieteni”, dar nu de către alți apelanți. Pe de altă parte, modificatorul „intrare” specifică faptul că o funcție poate fi apelată de orice cont extern.
Puntea conținea o funcție numită „publish_event”, care a fost folosită pentru a anunța evenimente precum transferurile de jetoane. Trebuia să fie apelabil doar de alte funcții din cadrul aceluiași modul sau de anumite „entități externe specificate”. Cu toate acestea, în versiunea bridge-ului studiată de CertiK, funcția a fost modificată atât de „public(prieten)” cât și de „intrare”. Acest lucru a făcut posibil ca oricine să apeleze „publish_event”, chiar dacă nu era un apelant aprobat.
Din cauza acestui defect, un atacator ar fi putut crea tranzacții false care păreau să mute jetoane dintr-un cont în altul, chiar dacă nu au fost mutate jetoane reale. Aceste „evenimente” ar fi putut face ca versiunea Ethereum a podului să bată sau să deblocheze jetoane fără a avea depozite reale care să le susțină pe partea Aptos. Drept urmare, atacatorul ar fi putut scăpa de fonduri în valoare de până la 5 milioane de dolari din pod, a declarat CertiK.
CertiK a informat membrii echipei Wormhole despre defecțiune pe 5 decembrie 2023. După ce a investigat raportul, echipa a dezvoltat și testat un patch pentru a închide lacuna de securitate și a informat Gardienii protocolului despre problemă. Printr-un vot cu mai multe semnături, Guardians au aprobat implementarea patch-ului, iar contractul Aptos al protocolului a fost actualizat pentru a implementa noul cod. Odată raportată defectul, procesul de remediere a durat aproximativ trei ore, iar noua versiune a podului nu mai este vulnerabilă la acest exploit.
Wormhole Aptos exploatează cronologia. Sursa: CertiK.
Pe lângă eliminarea cuvântului cheie „intrare” din funcția publish_event, noul patch a restricționat și valoarea „limitelor ratei guvernatorului” pentru Aptos de la 5 milioane USD la 1 milion USD, prevenind efectiv retragerile din Aptos mai mari de 1 milion USD pe zi. Acest lucru a fost făcut pentru a limita pierderile în cazul unui exploit viitor. Utilizarea curentă este sub 1 milion de dolari pe zi, a susținut CertiK, ceea ce înseamnă că limita de rată nu ar trebui să afecteze majoritatea utilizatorilor.
Wormhole a efectuat, de asemenea, o „analiza retrospectivă” pentru a determina dacă fondurile utilizatorilor au fost afectate de problemă. Ei au ajuns la concluzia că niciun fond nu a fost transferat ilicit și că soldurile utilizatorilor sunt în siguranță.
Wormhole nu a reușit întotdeauna să detecteze defecte de securitate înainte de a fi exploatate. În 2022, a pierdut mai mult de 321 de milioane de dolari, când o eroare din partea Solana a podului i-a permis unui atacator să bată jetoane fără suport. Cu toate acestea, ulterior, echipa a corectat bug-ul și a compensat utilizatorii. În ianuarie, Wormhole a recuperat 1 miliard de dolari în valoare totală blocată pentru prima dată de la incident, arătând că unii utilizatori simt că practicile sale de securitate s-au îmbunătățit.
Înrudit: Erori în furca Gains Network le permit comercianților să profite de 900% la fiecare tranzacție: Raportați

CertiK a descoperit o defecțiune de securitate de 5 milioane USD în podul Wormhole de pe Aptos

Explorați mai multe de la acest creator

Ultimele știri