CertiK 在 Aptos 网络上阻止了虫洞桥的 500 万美元安全漏洞
Summary:
区块链安全公司 CertiK 在 Aptos 网络的虫洞桥中发现并解决了一个可能造成破坏的 500 万美元安全漏洞。据报道,该错误与MOVE编程语言有关,在发生任何损坏之前就已得到修补。作为回应,Aptos 的每日提款限额降至 100 万美元,以防止在未来出现安全漏洞时遭受重大损失。该公司进行了“回顾分析”以核实用户的余额,得出的结论是没有资金被非法转移。尽管之前出现了一些小故障,但 Wormhole 已经重新获得了用户的信任,收回了锁定的总价值 10 亿美元。
正如区块链安全提供商 CertiK 在社交媒体上的一篇文章所揭示的那样,Aptos 网络上的虫洞桥中的安全缺陷如果未被发现,可能会导致高达 500 万美元的损失。该公司声称在灾难发生之前已经认识到并向虫洞的团队报告了故障。此后,该错误已得到纠正,确保桥梁不再容易受到攻击。
Aptos 是一个使用 MOVE 编程语言的区块链网络,最初由 Facebook 为其 Libra 项目制作。MOVE的拥护者认为,与以太坊的Solidity或其他替代方案相比,它为制作智能合约提供了一种更安全的格式。
CertiK 以视频形式展示了他们的报告。根据他们的说法,故障源于MOVE编程语言中“public(friend)”和“entry”修饰符的错误同化。前一个修饰符允许同一模块中的其他人或列为“好友”的外部帐户调用函数,但不允许其他人调用。相反,“entry”修饰符表示函数可以由任何外部帐户调用。
该桥包含一个名为“publish_event”的函数,用于声明令牌转移等事件。此函数仅供同一函数中的其他模块或“指定的外部实体”调用。然而,在 CertiK 对桥接的分析中,该函数被 'public(friend)' 和 'entry' 修改。因此,任何人,即使是未经批准的呼叫者,都可能触发“publish_event”。
由于这种故障,攻击者可能捏造了虚构的交易,给人一种代币从一个账户转移到另一个账户的错觉,而没有任何实际的代币移动。这些人为的“事件”可能导致以太坊版本的桥创建或解锁代币,而 Aptos 方面没有任何真正的存款支持它们。CertiK声称,这种情况可能导致攻击者从桥上损失高达500万美元。
Wormhole 团队于 2023 年 12 月 5 日收到 CertiK 的故障通知。在检查了报告后,该团队设计并评估了一个补丁来解决安全漏洞。该协议的监护人也被告知了这个问题。在多重签名投票之后,守护者批准了补丁的申请,协议的 Aptos 合同使用新代码进行了升级。发布故障报告后,修复花了将近三个小时,新的桥接版本是安全的,没有这个漏洞。
与新补丁相关的一个关键变化是从publish_event函数中删除了“entry”关键字。更新后的补丁同样将 Aptos 的“州长费率限制”从 500 万美元下调至 100 万美元,这大大限制了 Aptos 的提款,最高为每天 3.21 亿美元。该措施有助于避免再次发生故障时的潜在重大损失。CertiK补充说,目前每天的使用量不到100万美元,这表明这个上限不应该扰乱大多数用户。
Wormhole还进行了“回顾分析”,以确定故障是否对用户资金有任何影响。他们的结论是,没有资金被非法转移,验证用户余额是安全的。
Wormhole此前曾未能及时发现安全漏洞。2022 年,当桥梁的 Solana 部分出现故障时,它遭受了超过 3.21 亿美元的损失,使攻击者能够生产不受支持的代币。但是,这个错误后来得到了纠正,用户得到了补偿。到今年1月,Wormhole的总锁定价值已经恢复了10亿美元,这表明一些用户信任其增强的安全措施。
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.