CertiK предотвратил брешь в системе безопасности стоимостью 5 миллионов долларов в мосте Wormhole Bridge в сети Aptos
Summary:
Компания CertiK, занимающаяся безопасностью блокчейна, обнаружила и устранила потенциально опасный брешь безопасности стоимостью 5 миллионов долларов в мосте Wormhole в сети Aptos. Сообщается, что ошибка, связанная с языком программирования MOVE, была исправлена до того, как был нанесен какой-либо ущерб. В ответ на это ежедневный лимит вывода средств из Aptos был снижен до 1 миллиона долларов, чтобы предотвратить существенные убытки в случае будущих нарушений безопасности. Компания провела «ретроспективный анализ» для проверки балансов пользователей, придя к выводу, что никакие средства не были переведены незаконным путем. Несмотря на предыдущие сбои, Wormhole вернул доверие пользователей, вернув себе общую заблокированную стоимость в 1 миллиард долларов.
Недостаток безопасности в мосту Wormhole в сети Aptos мог привести к колоссальным потерям в размере 5 миллионов долларов, если бы он не был обнаружен, о чем свидетельствует сообщение в социальных сетях от поставщика безопасности блокчейна CertiK. Компания утверждает, что распознала неисправность и сообщила о ней команде Wormhole до того, как могла произойти катастрофа. С тех пор ошибка была исправлена, благодаря чему мост больше не подвержен влиянию.
Aptos — это блокчейн-сеть, использующая язык программирования MOVE, впервые созданный Facebook для своего проекта Libra. Сторонники MOVE утверждают, что он обеспечивает более безопасный формат для создания смарт-контрактов по сравнению с Ethereum Solidity или другими альтернативами.
CertiK представила свой отчет в видеоформате. По их мнению, неисправность возникла из-за неправильной ассимиляции модификаторов public(friend) и entry в языке программирования MOVE. Первый модификатор позволяет вызывать функцию другим пользователям в том же модуле или внешним учетным записям, указанным как «друзья», но не другим. В отличие от этого, модификатор 'entry' указывает, что функция может быть вызвана любой внешней учетной записью.
Мост включал в себя функцию с именем «publish_event», используемую для объявления таких событий, как передача токенов. Эта функция предназначалась исключительно для вызова другими модулями внутри той же функции или "указанными внешними сущностями". Однако при анализе моста, проведенном CertiK, функция была изменена как public(friend), так и как entry. Следовательно, любой, даже неодобренный абонент, может вызвать «publish_event».
Из-за этой неисправности злоумышленник мог сфабриковать фиктивные транзакции, которые создают иллюзию перевода токенов с одного счета на другой без какого-либо реального перемещения токенов. Эти искусственные «события» могли привести к тому, что версия моста Ethereum создала или разблокировала токены без каких-либо реальных депозитов, поддерживающих их на стороне Aptos. CertiK заявила, что эта ситуация могла привести к тому, что злоумышленник украл с моста до 5 миллионов долларов.
Команда Wormhole была уведомлена о неисправности CertiK 5 декабря 2023 года. Изучив отчет, команда разработала и оценила исправление для устранения пробела в безопасности. Хранители протокола также были проинформированы об этой проблеме. После голосования за мультиподпись Стражи санкционировали применение патча, и контракт протокола Aptos был обновлен новым кодом. После публикации отчета о неисправности исправление заняло почти три часа, и новая версия моста защищена от этой уязвимости.
Критическим изменением, связанным с новым патчем, стало удаление ключевого слова 'entry' из функции publish_event. Обновленный патч также понизил «лимиты губернаторской ставки» на Aptos с $5 млн до $1 млн, что значительно ограничивает вывод средств Aptos до максимума в $321 млн в день. Эта мера помогает предотвратить возможные существенные убытки в случае возникновения очередной неисправности. CertiK добавила, что ежедневное использование в настоящее время составляет менее 1 миллиона долларов, предполагая, что это ограничение не должно мешать большинству пользователей.
Wormhole также провела «ретроспективный анализ», чтобы выяснить, повлияла ли неисправность на средства пользователей. Они пришли к выводу, что никакие средства не были незаконно переведены, что подтверждает безопасность балансов пользователей.
Ранее Wormhole не хватало своевременного обнаружения брешей в безопасности. В 2022 году он понес убытки в размере более 321 миллиона долларов, когда сбой в части моста Solana позволил злоумышленнику создать неподдерживаемые токены. Однако позже эта ошибка была исправлена, и пользователи получили компенсацию. К январю Wormhole восстановил общую заблокированную стоимость в размере 1 миллиарда долларов, что говорит о том, что некоторые пользователи доверяют ее усиленным мерам безопасности.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.