Критический дефект безопасности на мосту Aptos Wormhole Bridge стоимостью 5 миллионов долларов – Certik

CertiK обнаружила и устранила серьезную брешь в безопасности моста «Червоточина» в сети Aptos, что потенциально позволило сэкономить 5 миллионов долларов.

Эта уязвимость могла позволить злоумышленнику создать фальшивую передачу токенов, но быстрые действия CertiK защитили средства пользователей.

На мосту Aptos Wormhole Bridge обнаружена уязвимость стоимостью 5 миллионов долларов

CertiK обнаружила дефект в червоточине на Аптосе и сообщила об этом команде червоточины. Проблема возникла из-за неправильной реализации модификаторов public(friend) и entry языка программирования MOVE.

Модификатор public(friend) позволяет вызывать функции другими пользователями в том же модуле или указанными внешними учетными записями. Напротив, модификатор «entry» позволяет любой внешней учетной записи вызывать функцию.

У моста была функция под названием «publish_event», предназначенная для объявления таких событий, как передача токенов. Эту функцию можно было вызывать только из других функций в том же модуле или из определенных указанных внешних объектов. Однако функция была изменена как с «public(friend)», так и с «entry», что позволяет любому вызывать «publish_event», даже если это не было одобрено.

Эта уязвимость могла позволить злоумышленнику создавать фальшивые транзакции , по-видимому, перемещая токены с одной учетной записи на другую без перемещения самих токенов. Эти фальшивые события могли привести к тому, что версия моста для Ethereum начала чеканить или разблокировать токены без реальных депозитов от Aptos, что потенциально может привести к потере до 5 миллионов долларов.

Быстрое действие CertiK для ремонта и защиты моста через червоточину

Обнаружив уязвимость, CertiK немедленно уведомила команду Wormhole 5 декабря 2023 года. Команда разработала и протестировала патч, закрывающий уязвимость. Они проинформировали об этом компанию Protocol Guardians, которая одобрила патч голосованием за несколько подписей. Затем контракт Aptos протокола был обновлен, что сделало мост безопасным. Этот процесс занял около трёх часов.

Подробнее: Крипто-мошеннические проекты: как обнаружить поддельные токены

Помимо удаления ключевого слова «entry» из функции публикации_event, новый патч также ограничил «губернаторские ограничения скорости» на Aptos с 5 до 1 миллиона долларов США. Этот стратегический шаг был направлен на ограничение потенциальных потерь от будущих атак. CertiK отметила, что текущее использование составляет менее 1 миллиона долларов в день, поэтому ограничение скорости не должно затронуть большинство пользователей.

«Этот практический пример не только подчеркивает решающую роль превентивных методов обеспечения безопасности, но также отмечает силу программного обеспечения с открытым исходным кодом в повышении стандартов безопасности и прозрачности в мире Web3», — добавил CertiK.

Wormhole также провела ретроспективный анализ, чтобы выяснить, повлияла ли проблема на средства пользователей. Исследование подтвердило, что никакие средства не были переведены незаконным путем и что балансы пользователей остались в безопасности.

Это не первый раз, когда «Червоточина» сталкивается с проблемами безопасности . В 2022 году мост потерял более 321 миллиона долларов из-за ошибки в части моста Solana, которая позволяла злоумышленнику чеканить токены без обеспечения. Несмотря на эту неудачу, Wormhole улучшила свои методы обеспечения безопасности и вернула заблокированную сумму в 1 миллиард долларов.

Сообщение о критическом недостатке безопасности в Aptos Wormhole Bridge — Certik стоимостью 5 миллионов долларов впервые появилось на BeInCrypto .