27 августа компания Asymmetric Research сообщила, что обнаружила критическую ошибку в Noble-CCTP компании Circle, компоненте протокола межцепочечного переноса USDC (USDC), в сети Cosmos.

По данным компании Web3, занимающейся безопасностью, злоумышленник мог обойти процесс проверки отправителя сообщения в протоколе кросс-чейн-передачи, чтобы выпустить поддельные токены USDC на мосту Noble.

В частности, обработчик Noble-CCTP «ReceiveMessage» принимал «BurnMessages» от любого отправителя без предварительной проверки того, что сообщение-мост было отправлено с проверенного адреса «TokenMessenger» в исходной цепочке. Фирма по безопасности описала уязвимость более подробно:

«Злоумышленник мог воспользоваться этим и запустить вредоносный выпуск USDC, отправив поддельное сообщение BurnMessage напрямую через контракт CCTP MessageTransmitter, используя адрес модуля Noble-CCTP и идентификатор цепочки Noble в качестве пункта назначения CCTP».

Asymmetric Research объяснила, что изначально проблема казалась сбоем бесконечного чеканного механизма, но она не могла быть связана с установленным Noble лимитом чеканки примерно в 35 миллионов долларов США.

Графика, поясняющая различные компоненты CCTP. Источник: Asymmetric Research

Компания Web3 Security в заключение отметила, что ни один пользователь не потерял средства, и ни один злоумышленник не смог успешно воспользоваться уязвимостью и начать атаку. На момент написания этой статьи Circle устранил программную ошибку.

Мост Noble Cross Chain от Circle — не единственный

В мае 2024 года аналогичная уязвимость была обнаружена в мосте Wormhole в сети Aptos. CertiK — еще одна фирма по безопасности блокчейна — обнаружила уязвимость, которая могла бы привести к эксплойту на сумму 5 миллионов долларов, если бы уязвимость не была обнаружена и устранена.

Критическая уязвимость Wormhole была вызвана проблемой с функцией «publish_event», которая позволяла любому вызвать контракт и выпускать поддельные токены.

Однако Wormhole не всегда был столь удачлив, когда дело касалось упреждающего устранения уязвимостей. В 2022 году протокол моста потерял 321 миллион долларов в результате нашумевшего эксплойта, позволившего пользователю выпускать поддельные токены.

Почти 80% взломанных криптовалют не восстанавливаются в цене

Обнаружение компанией Asymmetric Research критической уязвимости служит хорошим предзнаменованием для USDC компании Circle, которая могла пострадать из-за того, что злоумышленник воспользовался уязвимостью.

Недавний отчет ImmuneFi, предоставленный Cointelegraph, показал, что почти 80% взломанных или эксплуатируемых криптовалют никогда не восстанавливаются в цене.

Журнал: Странный взлом iVest с «нулевым адресом», миллионы ПК по-прежнему уязвимы для вредоносного ПО «Sinkclose»: Crypto-Sec