-CertiK виявив серйозну вразливість у Wormhole bridge Aptos, яка потенційно може призвести до злому на 5 мільйонів доларів.
- Помилка виникла через недоліки в реалізації мови програмування MOVE, завдяки чому хакерам було легко викрасти кошти.
- Команда Wormhole виправила вразливість протягом трьох годин і додала засоби захисту для запобігання майбутнім зломам.
- Червоточину вже використовували раніше, і попередній злом спричинив збитки в 320 мільйонів доларів у 2022 році.
Основний жучок, спійманий у Wormhole Bridge, запобігає потенційній катастрофі
Компанія безпеки блокчейну нещодавно запобігла потенційній катастрофі, виявивши серйозну помилку в Wormhole bridge у мережі Aptos. Цей недолік, якби його виявили зловмисники, міг призвести до краху та тисячі спустошених інвесторів.
Загроза в 5 мільйонів доларів
Якби цю вразливість знайшла не та особа, інвестори Aptos могли б зіткнутися з несанкціонованими переказами на загальну суму 5 мільйонів доларів. Це додало б зростаючий список хакерських атак у криптосвіті у 2024 році.
Перевага програмування MOVE
Aptos, відносно новий блокчейн, побудований на ініціативі Libra від Facebook і використовує мову програмування MOVE. MOVE відомий своїми розширеними функціями безпеки, пропонуючи більш надійні варіанти створення смарт-контрактів порівняно з Solidity Ethereum.
Критичне відкриття
CertiK, фірма з безпеки блокчейнів, виявила, що вразливість походить від помилок у модифікаторах «public(friend)» і «entry» у MOVE. Ці модифікатори контролюють доступ до функцій і запобігають доступу до них неавторизованих користувачів. Однак було виявлено, що вони піддаються впливу будь-якого абонента, що становить значний ризик.
Потенційні наслідки
Цей недолік міг дозволити хакерам імітувати передачу токенів між обліковими записами, фактично не переміщуючи жодних токенів. Це могло б обманом змусити частини мосту Wormhole, що базуються на Ethereum, випустити фактичні токени, дозволивши зловмиснику викачати кошти.
Швидке реагування та виправлення
CertiK повідомив про недолік команді Wormhole, яка негайно почала працювати над виправленням. Всього за три години вразливість було виправлено, а протокол перевірено для забезпечення безпеки.
Посилені заходи безпеки
Після виправлення команда Wormhole запровадила додаткові запобіжні заходи, такі як зменшення «обмеження ставок керівника», щоб дозволити лише 1 мільйон доларів США на зняття коштів на день. Цей захід гарантує, що в разі майбутніх зломів максимальний потенційний збиток буде мінімізований до 1 мільйона доларів США, що полегшить пошук хакерів.
Забезпечення безпеки користувачів
Wormhole підтвердив, що кошти користувачів не були втрачені, і підтвердив свою відданість збереженню активів користувачів у безпеці. Цей інцидент нагадує подібну подію в лютому 2022 року, коли вразливість між смарт-контрактами Ethereum і Solana призвела до крадіжки 120 000 токенів Ether (wETH) вартістю близько 320 мільйонів доларів на той час. У лютому 2023 року фірмам Web3 Jump Crypto та Oasis.app вдалося повернути 225 мільйонів доларів від хакера протоколу Wormhole.
Відданість безпеці
Проактивні зусилля Wormhole і CertiK підкреслюють важливість пильності в екосистемі блокчейну. Їхня прихильність виявленню та усуненню недоліків допомагає підтримувати довіру та безпеку у світі криптовалют, що швидко розвивається.
---
Застереження: Voice of Crypto прагне надавати точну й актуальну інформацію, але не несе відповідальності за відсутні факти чи неточності. Криптовалюти є дуже мінливими фінансовими активами, тому проведіть ретельні дослідження та приймайте власні фінансові рішення.
