-CertiK обнаружила серьезную уязвимость в червоточине Aptos, которая потенциально может привести к взлому на 5 миллионов долларов.
-Ошибка возникла из-за недостатков в реализации языка программирования MOVE, что позволило хакерам легко украсть средства.
-Команда Wormhole устранила уязвимость в течение трех часов и добавила меры безопасности для предотвращения будущих взломов.
- Червоточину уже эксплуатировали раньше: предыдущий взлом привел к убыткам в 320 миллионов долларов в 2022 году.
На мосту через червоточину обнаружена крупная ошибка, предотвращающая потенциальную катастрофу
Компания, занимающаяся безопасностью блокчейнов, недавно предотвратила потенциальную катастрофу, обнаружив серьезную ошибку в червоточине в сети Aptos. Этот недостаток, если бы его обнаружили злоумышленники, мог бы привести к краху и разорению тысяч инвесторов.
Угроза в 5 миллионов долларов
Если бы эту уязвимость обнаружил не тот человек, инвесторы Aptos могли бы столкнуться с несанкционированными переводами на общую сумму 5 миллионов долларов. Это пополнило бы растущий список хакерских атак, от которых страдает криптомир в 2024 году.
Преимущество программирования MOVE
Aptos, относительно новый блокчейн, создан по инициативе Facebook Libra и использует язык программирования MOVE. MOVE известен своими расширенными функциями безопасности, предлагающими более надежные возможности создания смарт-контрактов по сравнению с Solidity Ethereum.
Критическое открытие
CertiK, фирма, занимающаяся безопасностью блокчейнов, обнаружила, что уязвимость возникла из-за ошибок в модификаторах public(friend) и entry в MOVE. Эти модификаторы контролируют доступ к функциям и предотвращают доступ к ним неавторизованных пользователей. Однако выяснилось, что они подвергались воздействию любого звонящего, что представляло значительный риск.
Потенциальные последствия
Этот недостаток мог позволить хакерам имитировать передачу токенов между учетными записями без фактического перемещения каких-либо токенов. Это заставило бы базирующиеся на Эфириуме части моста «Червоточина» выпустить настоящие токены, что позволило бы злоумышленнику истощить средства.
Быстрый ответ и исправление
CertiK сообщила об ошибке команде Wormhole, которая немедленно начала работу над ее исправлением. Всего за три часа уязвимость была исправлена, а протокол протестирован на предмет безопасности.
Повышенные меры безопасности
После исправления команда Wormhole внедрила дополнительные меры безопасности, такие как снижение «пределов губернаторских ставок», позволяющих снимать средства только на 1 миллион долларов в день. Эта мера гарантирует, что в случае будущих взломов максимальные потенциальные потери будут сведены к минимуму до 1 миллиона долларов, что упрощает выслеживание хакеров.
Обеспечение безопасности пользователей
Компания Wormhole подтвердила, что средства пользователей не были потеряны, и подтвердила свою приверженность обеспечению безопасности пользовательских активов. Этот инцидент напоминает аналогичное событие в феврале 2022 года, когда уязвимость между смарт-контрактами Ethereum и Solana привела к краже 120 000 завернутых токенов Ether (wETH) на сумму около 320 миллионов долларов на тот момент. В феврале 2023 года компаниям Web3 Jump Crypto и Oasis.app удалось вернуть 225 миллионов долларов США от хакера протокола Wormhole.
Приверженность безопасности
Проактивные усилия Wormhole и CertiK подчеркивают важность бдительности в экосистеме блокчейна. Их приверженность выявлению и устранению недостатков помогает поддерживать доверие и безопасность в быстро развивающемся мире криптовалют.
---
Отказ от ответственности: Voice of Crypto стремится предоставлять точную и актуальную информацию, но не несет ответственности за любые недостающие факты или неточности. Криптовалюты являются крайне волатильными финансовыми активами, поэтому проводите тщательное исследование и принимайте собственные финансовые решения.
