CertiK vereitelt 5-Millionen-Dollar-Sicherheitslücke in Wurmlochbrücke im Aptos-Netzwerk
Summary:
Das Blockchain-Sicherheitsunternehmen CertiK entdeckte und behob eine potenziell schädliche Sicherheitslücke in Höhe von 5 Millionen US-Dollar in der Wormhole-Brücke im Aptos-Netzwerk. Der Fehler, der mit der Programmiersprache MOVE zusammenhängt, wurde Berichten zufolge gepatcht, bevor ein Schaden auftrat. Als Reaktion darauf wurde das tägliche Abhebungslimit von Aptos auf 1 Million US-Dollar reduziert, um erhebliche Verluste im Falle zukünftiger Sicherheitslücken zu vermeiden. Das Unternehmen führte eine "Look-Back-Analyse" durch, um die Guthaben der Benutzer zu überprüfen, und kam zu dem Schluss, dass keine Gelder illegal überwiesen wurden. Trotz früherer Pannen hat Wormhole das Vertrauen der Benutzer zurückgewonnen und einen gesperrten Gesamtwert von 1 Milliarde US-Dollar zurückgefordert.
Ein Sicherheitsmangel innerhalb der Wormhole-Brücke im Aptos-Netzwerk hätte zu einem satten Verlust von 5 Millionen US-Dollar führen können, wenn er nicht entdeckt worden wäre, wie aus einem Beitrag des Blockchain-Sicherheitsanbieters CertiK in den sozialen Medien hervorgeht. Das Unternehmen behauptet, die Fehlfunktion erkannt und dem Team von Wormhole gemeldet zu haben, bevor eine Katastrophe eintreten konnte. Der Fehler wurde inzwischen behoben, sodass die Brücke nicht mehr anfällig ist.
Aptos ist ein Blockchain-Netzwerk, das die Programmiersprache MOVE verwendet, die zuerst von Facebook für ihr Libra-Projekt entwickelt wurde. Befürworter von MOVE argumentieren, dass es im Vergleich zu Ethereums Solidity oder anderen Alternativen ein sichereres Format für die Erstellung von Smart Contracts bietet.
CertiK präsentierte seinen Bericht in einem Videoformat. Ihrer Meinung nach war die Fehlfunktion auf eine falsche Assimilation der Modifikatoren "public(friend)" und "entry" innerhalb der Programmiersprache MOVE zurückzuführen. Der erste Modifikator erlaubt es, eine Funktion von anderen innerhalb des identischen Moduls oder von externen Konten aufzurufen, die als "Freunde" aufgeführt sind, aber nicht von anderen. Im Gegensatz dazu zeigt der Modifikator "entry" an, dass eine Funktion von jedem externen Konto aufgerufen werden kann.
Die Bridge enthielt eine Funktion namens "publish_event", die verwendet wurde, um Vorkommnisse wie Token-Transfers zu deklarieren. Diese Funktion sollte ausschließlich von anderen Modulen innerhalb derselben Funktion oder von "spezifizierten externen Entitäten" aufgerufen werden. In der Analyse der Brücke durch CertiK wurde die Funktion jedoch sowohl durch "public(friend)" als auch durch "entry" modifiziert. Folglich kann jeder, auch nicht zugelassene Anrufer, "publish_event" auslösen.
Dank dieser Fehlfunktion könnte ein Angreifer fiktive Transaktionen fabriziert haben, die die Illusion erwecken, dass Token von einem Konto auf ein anderes übertragen werden, ohne dass sich tatsächliche Token bewegen. Diese künstlichen "Ereignisse" könnten dazu geführt haben, dass die Ethereum-Version der Bridge Token erstellt oder entsperrt hat, ohne dass echte Einzahlungen auf der Aptos-Seite sie unterstützen. CertiK behauptete, dass diese Situation dazu hätte führen können, dass ein Angreifer bis zu 5 Millionen US-Dollar von der Brücke abgezogen hätte.
Das Wurmloch-Team wurde am 5. Dezember 2023 von CertiK über die Fehlfunktion informiert. Nach Prüfung des Berichts entwickelte und bewertete das Team einen Patch, um die Sicherheitslücke zu schließen. Die Wächter des Protokolls wurden ebenfalls über das Problem informiert. Nach einer Abstimmung mit mehreren Signaturen genehmigten die Guardians die Anwendung des Patches, und der Aptos-Vertrag des Protokolls wurde mit dem neuen Code aktualisiert. Nach dem Störungsbericht dauerte der Fix fast drei Stunden, und die neue Bridge-Version ist vor dieser Schwachstelle sicher.
Eine wichtige Änderung im Zusammenhang mit dem neuen Patch war die Entfernung des Schlüsselworts "entry" aus der publish_event Funktion. Der aktualisierte Patch stufte ebenfalls die "Governor Rate Limits" für Aptos von 5 Millionen US-Dollar auf 1 Million US-Dollar herab, was die Aptos-Abhebungen erheblich auf maximal 321 Millionen US-Dollar pro Tag einschränkt. Diese Maßnahme hilft, mögliche erhebliche Verluste im Falle einer erneuten Störung abzuwenden. CertiK fügte hinzu, dass die tägliche Nutzung derzeit weniger als 1 Million US-Dollar beträgt, was darauf hindeutet, dass diese Obergrenze die meisten Benutzer nicht stören sollte.
Wormhole führte auch eine "Rückblickanalyse" durch, um festzustellen, ob die Fehlfunktion einen Einfluss auf die Gelder der Benutzer hatte. Ihre Schlussfolgerung war, dass keine Gelder unrechtmäßig überwiesen wurden, und überprüften, ob die Benutzerguthaben sicher waren.
Wormhole hat es bisher verpasst, Sicherheitslücken rechtzeitig zu erkennen. Im Jahr 2022 erlitt das Unternehmen einen Verlust von über 321 Millionen US-Dollar, als ein Fehler im Solana-Teil der Brücke es einem Angreifer ermöglichte, nicht unterstützte Token zu produzieren. Dieser Fehler wurde jedoch später behoben und die Benutzer wurden entschädigt. Bis Januar hatte Wormhole wieder 1 Milliarde US-Dollar an gesperrtem Gesamtwert erreicht, was darauf hindeutet, dass einige Benutzer den verbesserten Sicherheitsmaßnahmen vertrauen.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.