據區塊鏈安全平臺 CertiK 在社交媒體上發佈的帖子稱，Aptos 網絡上的 Wormhole 橋存在安全漏洞，若未被發現，可能導致價值 500 萬美元的損失。該平臺聲稱已發現該漏洞，並在漏洞被揭發之前將其報告給 Wormhole 團隊。該漏洞已得到修補，橋不再存在漏洞。

資料來源：CertiK。

Aptos 是一個使用 MOVE 編程語言的區塊鏈網絡，該語言最初由 Facebook 爲 Libra 項目開發。MOVE 的支持者聲稱，與以太坊的 Solidity 或其他替代方案相比，它是一種更安全的智能合約編寫語言。

CertiK 的報告以視頻的形式發佈。報告聲稱，該漏洞“源於 MOVE 編程語言中‘public(friend)’和‘entry’修飾符的錯誤實現”。‘public(friend)’修飾符允許同一模塊內的其他函數或“好友列表”中指定的外部賬戶調用某個函數，但其​​他調用者無法調用。另一方面，‘entry’修飾符指定任何外部賬戶都可以調用某個函數。

該橋包含一個名爲“publish_event”的函數，用於宣佈諸如代幣轉移之類的事件。它只應該由同一模塊內的其他函數或某些“指定的外部實體”調用。然而，在 CertiK 研究的橋版本中，該函數被“public(friend)”和“entry”修改。這使得任何人都可以調用“publish_event”，即使他們不是經批准的調用者。

由於這一缺陷，攻擊者可以創建虛假交易，看似將代幣從一個賬戶轉移到另一個賬戶，但實際上並沒有轉移任何代幣。這些“事件”可能導致以太坊版本的橋樑鑄造或解鎖代幣，而 Aptos 方面沒有任何真正的存款支持它們。因此，CertiK 表示，攻擊者可能從橋樑中竊取了價值高達 500 萬美元的資金。

CertiK 於 2023 年 12 月 5 日向 Wormhole 團隊成員通報了該漏洞。在調查了該報告後，該團隊開發並測試了一個補丁來修復安全漏洞，並將該問題告知了協議的守護者。通過多重簽名投票，守護者批准實施該補丁，並升級了協議的 Aptos 合約以實施新代碼。報告漏洞後，修復過程大約需要三個小時，新版本的橋不再容易受到此漏洞的攻擊。

Wormhole Aptos 漏洞利用時間表。資料來源：CertiK。

除了從 publish_event 函數中刪除“entry”關鍵字外，新補丁還將 Aptos 的“調節器速率限制”值從 500 萬美元限制到 100 萬美元，從而有效地阻止了每天從 Aptos 提取超過 100 萬美元的資金。這樣做是爲了在未來發生漏洞時限制損失。CertiK 聲稱，目前的使用量低於每天 100 萬美元，這意味着速率限制不會影響大多數用戶。

Wormhole 還進行了“回顧性分析”，以確定是否有任何用戶資金受到此問題的影響。他們得出的結論是，沒有資金被非法轉移，用戶的餘額是安全的。

Wormhole 並不總是能夠在安全漏洞被利用之前發現它們。2022 年，橋接器 Solana 部分的一個漏洞允許攻擊者鑄造無擔保代幣，導致 Wormhole 損失超過 3.21 億美元。不過，該團隊後來修補了漏洞並向用戶進行了補償。今年 1 月，Wormhole 自事件發生以來首次收回了 10 億美元的總鎖定價值，這表明一些用戶認爲其安全措施有所改善。

相關：報告稱，Gains Network 分叉中的漏洞讓交易者每筆交易獲利 900%