CertiK sventa una falla di sicurezza da 5 milioni di dollari nel wormhole bridge su Aptos Network
Summary:
La società di sicurezza blockchain CertiK ha scoperto e risolto una falla di sicurezza potenzialmente dannosa da 5 milioni di dollari all'interno del bridge Wormhole sulla rete Aptos. Secondo quanto riferito, il bug, legato al linguaggio di programmazione MOVE, è stato corretto prima che si verificassero danni. In risposta, il limite di prelievo giornaliero da Aptos è stato ridotto a 1 milione di dollari per evitare perdite sostanziali in caso di future interruzioni della sicurezza. La società ha intrapreso una "analisi retrospettiva" per verificare i saldi degli utenti, concludendo che nessun fondo era stato trasferito illecitamente. Nonostante i precedenti glitch, Wormhole ha riconquistato la fiducia degli utenti, recuperando un valore totale bloccato di 1 miliardo di dollari.
Una carenza di sicurezza all'interno del bridge Wormhole sulla rete Aptos aveva il potenziale per portare a un'enorme perdita di 5 milioni di dollari se non fosse stata rilevata, come rivelato da un post sui social media del fornitore di sicurezza blockchain CertiK. L'azienda afferma di aver riconosciuto e segnalato il malfunzionamento al team di Wormhole prima che il disastro potesse colpire. Da allora il bug è stato corretto, assicurando che il ponte non sia più suscettibile.
Aptos è una rete blockchain che utilizza il linguaggio di programmazione MOVE, creato per la prima volta da Facebook per il suo progetto Libra. I sostenitori di MOVE sostengono che fornisce un formato più sicuro per la creazione di smart contract rispetto a Solidity di Ethereum o ad altre alternative.
CertiK ha presentato il suo rapporto in formato video. Secondo loro, il malfunzionamento ha avuto origine da un'errata assimilazione dei modificatori 'public(friend)' e 'entry' all'interno del linguaggio di programmazione MOVE. Il primo modificatore consente a una funzione di essere invocata da altri all'interno dello stesso modulo o da account esterni elencati come "amici", ma non da altri. Al contrario, il modificatore 'entry' indica che una funzione può essere richiamata da qualsiasi account esterno.
Il bridge incorporava una funzione denominata "publish_event", utilizzata per dichiarare occorrenze come i trasferimenti di token. Questa funzione doveva essere invocata esclusivamente da altri moduli all'interno della stessa funzione o da "entità esterne specificate". Tuttavia, nell'analisi del ponte di CertiK, la funzione è stata modificata sia da 'public(friend)' che da 'entry'. Di conseguenza, chiunque, anche chi chiama non autorizzato, potrebbe attivare il "publish_event".
Grazie a questo malfunzionamento, un aggressore potrebbe aver fabbricato transazioni fittizie che danno l'illusione che i token vengano trasferiti da un account all'altro senza che alcun token si muova. Questi "eventi" artificiali potrebbero aver indotto la versione Ethereum del bridge a creare o sbloccare token senza alcun deposito genuino che li supportasse da parte di Aptos. CertiK ha affermato che questa situazione avrebbe potuto portare un aggressore a drenare fino a 5 milioni di dollari dal ponte.
Il team di Wormhole è stato informato del malfunzionamento da CertiK il 5 dicembre 2023. Dopo aver esaminato il report, il team ha ideato e valutato una patch per colmare la lacuna di sicurezza. Anche i Guardiani del protocollo sono stati informati del problema. A seguito di un voto multifirma, i Guardiani hanno approvato l'applicazione della patch e il contratto Aptos del protocollo è stato aggiornato con il nuovo codice. Dopo la segnalazione di malfunzionamento, la correzione ha richiesto quasi tre ore e la nuova versione del bridge è al sicuro da questa vulnerabilità.
Un cambiamento critico associato alla nuova patch è stata la rimozione della parola chiave 'entry' dalla funzione publish_event. La patch aggiornata ha anche declassato i "limiti di tasso del governatore" su Aptos da $ 5 milioni a $ 1 milione, questo frena significativamente i prelievi di Aptos a un massimo di $ 321 milioni al giorno. Questa misura aiuta a evitare potenziali perdite sostanziali in caso di un altro malfunzionamento. CertiK ha aggiunto che l'uso quotidiano è attualmente inferiore a 1 milione di dollari, suggerendo che questo limite non dovrebbe disturbare la maggior parte degli utenti.
Wormhole ha anche intrapreso una "analisi retrospettiva" per accertare se il malfunzionamento avesse avuto qualche influenza sui fondi degli utenti. La loro conclusione è stata che nessun fondo è stato trasferito illegittimamente, verificando che i saldi degli utenti fossero sicuri.
In precedenza, Wormhole non è riuscito a rilevare tempestivamente le falle di sicurezza. Nel 2022, ha subito una perdita di oltre 321 milioni di dollari quando un problema tecnico nella parte Solana del bridge ha permesso a un aggressore di produrre token non supportati. Tuttavia, questo bug è stato corretto in seguito e gli utenti sono stati compensati. A gennaio, Wormhole aveva riguadagnato 1 miliardo di dollari di valore totale bloccato, suggerendo che alcuni utenti si fidano delle sue misure di sicurezza avanzate.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.