CertiK déjoue une faille de sécurité de 5 millions de dollars dans le pont Wormhole sur le réseau Aptos
Summary:
La société de sécurité blockchain CertiK a découvert et corrigé une faille de sécurité potentiellement dommageable de 5 millions de dollars dans le pont Wormhole sur le réseau Aptos. Le bogue, lié au langage de programmation MOVE, aurait été corrigé avant que tout dommage ne se produise. En réponse, la limite quotidienne de retrait d’Aptos a été réduite à 1 million de dollars pour éviter des pertes substantielles en cas de futures failles de sécurité. La société a entrepris une « analyse rétrospective » pour vérifier les soldes des utilisateurs, concluant qu’aucun fonds n’avait été transféré illégalement. Malgré les problèmes précédents, Wormhole a regagné la confiance des utilisateurs, récupérant une valeur totale bloquée de 1 milliard de dollars.
Une faille de sécurité dans le pont Wormhole sur le réseau Aptos aurait pu entraîner une perte énorme de 5 millions de dollars si elle n’avait pas été détectée, comme l’a révélé un message sur les médias sociaux du fournisseur de sécurité blockchain CertiK. La société affirme avoir reconnu et signalé le dysfonctionnement à l’équipe de Wormhole avant que la catastrophe ne se produise. Le bug a depuis été corrigé, garantissant que le pont n’est plus sensible.
Aptos est un réseau blockchain utilisant le langage de programmation MOVE, conçu pour la première fois par Facebook pour leur projet Libra. Les défenseurs de MOVE affirment qu’il fournit un format plus sûr pour l’élaboration de contrats intelligents par rapport à Solidity d’Ethereum ou à d’autres alternatives.
CertiK a présenté son rapport en format vidéo. Selon eux, le dysfonctionnement provenait d’une assimilation incorrecte des modificateurs « public(friend) » et « entry » dans le langage de programmation MOVE. Le premier modificateur permet à une fonction d’être invoquée par d’autres personnes dans le même module ou par des comptes externes répertoriés comme « amis », mais pas par d’autres. En revanche, le modificateur 'entry' indique qu’une fonction peut être invoquée par n’importe quel compte externe.
Le pont incorporait une fonction nommée « publish_event », utilisée pour déclarer des événements tels que des transferts de jetons. Cette fonction était exclusivement destinée à être invoquée par d’autres modules au sein de la même fonction ou par des « entités externes spécifiées ». Cependant, dans l’analyse du pont par CertiK, la fonction a été modifiée à la fois par « public (ami) » et « entrée ». Par conséquent, n’importe qui, même les appelants non approuvés, pourrait déclencher « publish_event ».
Grâce à ce dysfonctionnement, un assaillant pourrait avoir fabriqué des transactions fictives qui donnent l’illusion que des jetons sont transférés d’un compte à un autre sans qu’aucun jeton réel ne bouge. Ces « événements » artificiels auraient pu amener la version Ethereum du pont à créer ou à débloquer des jetons sans qu’aucun dépôt réel ne les soutienne du côté d’Aptos. CertiK a affirmé que cette situation aurait pu conduire un attaquant à drainer jusqu’à 5 millions de dollars du pont.
L’équipe de Wormhole a été informée du dysfonctionnement par CertiK le 5 décembre 2023. Après avoir inspecté le rapport, l’équipe a conçu et évalué un correctif pour combler la faille de sécurité. Les Gardiens du protocole ont également été informés de la question. Après un vote multisignature, les Gardiens ont approuvé l’application du correctif et le contrat Aptos du protocole a été mis à niveau avec le nouveau code. Après le rapport de dysfonctionnement, la correction a pris près de trois heures et la nouvelle version du pont est à l’abri de cette vulnérabilité.
Un changement critique associé au nouveau correctif a été la suppression du mot-clé « entry » de la fonction publish_event. Le correctif mis à jour a également abaissé les « limites de taux du gouverneur » sur Aptos de 5 millions de dollars à 1 million de dollars, ce qui réduit considérablement les retraits d’Aptos à un maximum de 321 millions de dollars par jour. Cette mesure permet d’éviter des pertes importantes potentielles en cas de défaillance. CertiK a ajouté que l’utilisation quotidienne est actuellement inférieure à 1 million de dollars, ce qui suggère que ce plafond ne devrait pas perturber la plupart des utilisateurs.
Wormhole a également entrepris une « analyse rétrospective » pour déterminer si le dysfonctionnement avait une influence sur les fonds des utilisateurs. Leur conclusion était qu’aucun fonds n’avait été transféré illégitimement, vérifiant que les soldes des utilisateurs étaient sécurisés.
Wormhole a déjà manqué de détecter en temps opportun les failles de sécurité. En 2022, il a subi une perte de plus de 321 millions de dollars lorsqu’un problème dans la partie Solana du pont a permis à un attaquant de produire des jetons non pris en charge. Cependant, ce bug a été corrigé plus tard, et les utilisateurs ont été indemnisés. En janvier, Wormhole avait récupéré 1 milliard de dollars de valeur totale bloquée, ce qui suggère que certains utilisateurs font confiance à ses mesures de sécurité renforcées.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.