За даними Cointelegraph, 27 серпня Asymmetric Research виявила критичну помилку в Noble-CCTP від ​​Circle, компоненті протоколу міжланцюгової передачі USDC у мережі Cosmos.

Фірма безпеки Web3 повідомила, що зловмисник потенційно міг обійти процес перевірки відправника повідомлень протоколу, щоб карбувати підроблені токени USDC на мосту Noble. Зокрема, обробник «ReceiveMessage» Noble-CCTP приймав «BurnMessages» від будь-якого відправника, не перевіряючи, що повідомлення надіслано з перевіреної адреси «TokenMessenger» у вихідному ланцюжку. Ця вразливість могла дозволити зловмиснику використати систему та запустити зловмисні монетні двори USDC, надіславши фальшиве повідомлення BurnMessage безпосередньо через контракт CCTP MessageTransmitter, використовуючи адресу модуля Noble-CCTP та ідентифікатор ланцюга Noble як пункт призначення CCTP.

Asymmetric Research уточнило, що проблема спочатку виглядала як нескінченний збій монетного двору, але була обмежена тим, що Noble встановив ліміт монетного двору приблизно в 35 мільйонів доларів США. Фірма дійшла висновку, що жоден користувач не втратив кошти, а зловмисники не змогли використати вразливість. Відтоді Circle усунув програмну помилку.

Це не перший випадок подібної вразливості в перехресних ланцюгових мостах. У травні 2024 року CertiK, інша фірма з безпеки блокчейнів, виявила подібну проблему в мосту Wormhole у мережі Aptos. Уразливість могла призвести до експлойту на 5 мільйонів доларів, якщо її не усунути. Раніше міст Wormhole зазнав значних збитків у 2022 році, втративши 321 мільйон доларів через подібну проблему.

Виявлення Asymmetric Research критичної вразливості є позитивною подією для USDC Circle, що потенційно запобігає серйозним наслідкам від використання зловмисником помилки. Недавній звіт ImmuneFi показав, що майже 80% зламаних або використаних криптовалют ніколи не відновлюються з точки зору ціни.