CertiK frustra una falla de seguridad de USD 5 millones en un puente de agujero de gusano en la red Aptos
Summary:
La empresa de seguridad blockchain CertiK descubrió y abordó una falla de seguridad potencialmente dañina de USD 5 millones dentro del puente Wormhole en la red Aptos. Según los informes, el error, vinculado al lenguaje de programación MOVE, fue parcheado antes de que se produjera ningún daño. En respuesta, el límite diario de retiro de Aptos se redujo a 1 millón de dólares para evitar pérdidas sustanciales en caso de futuros fallos de seguridad. La compañía llevó a cabo un "análisis retrospectivo" para verificar los saldos de los usuarios, concluyendo que no se habían transferido fondos ilícitamente. A pesar de los fallos anteriores, Wormhole ha recuperado la confianza de los usuarios, recuperando un valor total bloqueado de 1.000 millones de dólares.
Una deficiencia de seguridad dentro del puente Wormhole en la red Aptos tenía el potencial de conducir a una enorme pérdida de USD 5 millones si no se hubiera detectado, como reveló una publicación en las redes sociales del proveedor de seguridad blockchain CertiK. La compañía afirma haber reconocido e informado del mal funcionamiento al equipo de Wormhole antes de que ocurriera el desastre. Desde entonces, el error se ha rectificado, lo que garantiza que el puente ya no sea susceptible.
Aptos es una red blockchain que utiliza el lenguaje de programación MOVE, creado por primera vez por Facebook para su proyecto Libra. Los defensores de MOVE argumentan que proporciona un formato más seguro para la elaboración de contratos inteligentes en comparación con Solidity de Ethereum u otras alternativas.
CertiK presentó su informe en formato de vídeo. Según ellos, el mal funcionamiento se originó por una asimilación incorrecta de los modificadores 'public(friend)' y 'entry' dentro del lenguaje de programación MOVE. El modificador anterior permite que una función sea invocada por otros dentro del mismo módulo o por cuentas externas enumeradas como "amigos", pero no por otros. Por el contrario, el modificador 'entry' indica que una función puede ser invocada por cualquier cuenta externa.
El puente incorporó una función llamada 'publish_event", que se utiliza para declarar ocurrencias como transferencias de tokens. Esta función estaba destinada exclusivamente a ser invocada por otros módulos dentro de la misma función o por "entidades externas especificadas". Sin embargo, en el análisis de CertiK del puente, la función fue modificada tanto por 'public(friend)' como por 'entry'. En consecuencia, cualquiera, incluso las personas que llaman no aprobadas, podría activar 'publish_event'.
Gracias a este mal funcionamiento, un asaltante podría haber fabricado transacciones ficticias que dan la ilusión de que los tokens se transfieren de una cuenta a otra sin que se mueva ningún token real. Estos "eventos" artificiales podrían haber causado que la versión Ethereum del puente creara o desbloqueara tokens sin ningún depósito genuino que los respaldara en el lado de Aptos. CertiK afirmó que esta situación podría haber llevado a un atacante a drenar hasta 5 millones de dólares del puente.
El equipo de Wormhole fue notificado del mal funcionamiento por CertiK el 5 de diciembre de 2023. Después de inspeccionar el informe, el equipo ideó y evaluó un parche para abordar la brecha de seguridad. Los guardianes del protocolo también fueron informados del problema. Tras una votación multifirma, los Guardianes aprobaron la aplicación del parche y el contrato Aptos del protocolo se actualizó con el nuevo código. Después del informe de mal funcionamiento, la solución tardó casi tres horas y la nueva versión del puente está a salvo de esta vulnerabilidad.
Un cambio crítico asociado con el nuevo parche fue la eliminación de la palabra clave 'entry' de la función publish_event. El parche actualizado también rebajó los "límites de tasa del gobernador" de Aptos de USD 5 millones a USD 1 millón, lo que reduce significativamente los retiros de Aptos a un máximo de USD 321 millones por día. Esta medida ayuda a evitar posibles pérdidas sustanciales en caso de que ocurra otro mal funcionamiento. CertiK añadió que el uso diario es actualmente inferior a 1 millón de dólares, lo que sugiere que este límite no debería afectar a la mayoría de los usuarios.
Wormhole también llevó a cabo un "análisis retrospectivo" para determinar si el mal funcionamiento tuvo alguna influencia en los fondos de los usuarios. Su conclusión fue que no se transfirieron fondos ilegítimamente, verificando que los saldos de los usuarios estuvieran seguros.
Wormhole ha pasado por alto la detección oportuna de fallas de seguridad. En 2022, sufrió una pérdida de más de 321 millones de dólares cuando un fallo en la pieza de Solana del puente permitió a un atacante producir tokens no compatibles. Sin embargo, este error se rectificó más tarde y los usuarios fueron compensados. En enero, Wormhole había recuperado 1.000 millones de dólares en valor total bloqueado, lo que sugiere que algunos usuarios confían en sus medidas de seguridad mejoradas.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.