Theo Cointelegraph, vào ngày 27 tháng 8, Asymmetric Research đã xác định một lỗi nghiêm trọng trong Noble-CCTP của Circle, một thành phần của Giao thức chuyển chuỗi chéo USDC trên mạng Cosmos.
Công ty bảo mật Web3 đã báo cáo rằng một tác nhân độc hại có khả năng đã bỏ qua quy trình xác minh người gửi tin nhắn của giao thức để đúc các token USDC giả trên cầu nối Noble. Cụ thể, trình xử lý "ReceiveMessage" của Noble-CCTP đã chấp nhận "BurnMessages" từ bất kỳ người gửi nào mà không xác minh rằng tin nhắn được gửi từ địa chỉ "TokenMessenger" đã xác minh trên chuỗi gốc. Lỗ hổng này có thể cho phép kẻ tấn công khai thác hệ thống và kích hoạt các đợt đúc USDC độc hại bằng cách gửi BurnMessage giả trực tiếp thông qua hợp đồng CCTP MessageTransmitter, sử dụng địa chỉ mô-đun Noble-CCTP và ID chuỗi của Noble làm đích CCTP.
Asymmetric Research đã làm rõ rằng vấn đề ban đầu có vẻ là lỗi đúc vô hạn nhưng đã được giới hạn bởi việc Noble thực thi giới hạn đúc khoảng 35 triệu USDC. Công ty kết luận rằng không có người dùng nào bị mất tiền và không có tác nhân độc hại nào có thể khai thác lỗ hổng. Circle đã khắc phục lỗi phần mềm kể từ đó.
Đây không phải là lần đầu tiên các lỗ hổng như vậy xuất hiện trong các cầu nối chuỗi chéo. Vào tháng 5 năm 2024, một vấn đề tương tự đã được CertiK, một công ty bảo mật blockchain khác, phát hiện ra trong cầu nối Wormhole trên mạng Aptos. Lỗ hổng này có thể dẫn đến một vụ khai thác trị giá 5 triệu đô la nếu không được giải quyết. Cầu nối Wormhole trước đây đã phải chịu một vụ khai thác đáng kể vào năm 2022, mất 321 triệu đô la do một vấn đề tương tự.
Việc Asymmetric Research phát hiện ra lỗ hổng nghiêm trọng là một diễn biến tích cực cho USDC của Circle, có khả năng ngăn chặn hậu quả nghiêm trọng từ tác nhân độc hại khai thác lỗi. Một báo cáo gần đây từ ImmuneFi tiết lộ rằng gần 80% tiền điện tử bị hack hoặc khai thác không bao giờ phục hồi về mặt giá.