CertiK frustra falha de segurança de US$ 5 milhões na ponte Wormhole na rede Aptos
Summary:
A empresa de segurança blockchain CertiK descobriu e resolveu uma falha de segurança potencialmente prejudicial de US$ 5 milhões dentro da ponte Wormhole na rede Aptos. O bug, ligado à linguagem de programação MOVE, teria sido corrigido antes que qualquer dano ocorresse. Em resposta, o limite diário de retirada da Aptos foi reduzido para US$ 1 milhão para evitar perdas substanciais em caso de falhas de segurança futuras. A empresa realizou uma "análise retrospectiva" para verificar os saldos dos usuários, concluindo que nenhum dinheiro foi transferido ilicitamente. Apesar das falhas anteriores, o Wormhole recuperou a confiança do usuário, recuperando um valor total bloqueado de US$ 1 bilhão.
Uma deficiência de segurança dentro da ponte Wormhole na rede Aptos tinha o potencial de levar a uma perda colossal de US$ 5 milhões se não tivesse sido detectada, como revelado por uma publicação nas redes sociais do provedor de segurança blockchain CertiK. A empresa afirma ter reconhecido e relatado o mau funcionamento à equipe da Wormhole antes que o desastre pudesse acontecer. O bug já foi corrigido, garantindo que a ponte não seja mais suscetível.
Aptos é uma rede blockchain que utiliza a linguagem de programação MOVE, criada pela primeira vez pelo Facebook para seu projeto Libra. Os defensores do MOVE argumentam que ele fornece um formato mais seguro para a criação de contratos inteligentes em comparação com o Solidity do Ethereum ou outras alternativas.
A CertiK apresentou seu relatório em formato de vídeo. Segundo eles, o mau funcionamento originou-se de uma assimilação incorreta dos modificadores 'public(friend)' e 'entry' dentro da linguagem de programação MOVE. O modificador anterior permite que uma função seja invocada por outras pessoas dentro do módulo idêntico ou por contas externas listadas como "amigos", mas não por outras. Por outro lado, o modificador 'entry' indica que uma função pode ser invocada por qualquer conta externa.
A ponte incorporou uma função chamada 'publish_event'", usada para declarar ocorrências como transferências de tokens. Esta função destinava-se exclusivamente a ser invocada por outros módulos dentro da mesma função ou por "entidades externas especificadas". No entanto, na análise da ponte feita pela CertiK, a função foi modificada tanto por "público(amigo)" quanto por "entrada". Consequentemente, qualquer pessoa, mesmo os que não forem aprovados, poderia acionar "publish_event".
Graças a esse mau funcionamento, um assaltante pode ter fabricado transações fictícias que dão a ilusão de tokens sendo transferidos de uma conta para outra sem que nenhum token real se mova. Esses "eventos" artificiais podem ter feito com que a versão Ethereum da ponte criasse ou desbloqueasse tokens sem nenhum depósito genuíno que os suportasse no lado do Aptos. A CertiK alegou que essa situação poderia ter levado um atacante a drenar até US$ 5 milhões da ponte.
A equipe do Wormhole foi notificada do mau funcionamento pela CertiK em 5 de dezembro de 2023. Depois de inspecionar o relatório, a equipe elaborou e avaliou um patch para resolver a lacuna de segurança. Os Guardiões do Protocolo também foram informados sobre o assunto. Após uma votação multiassinatura, os Guardiões sancionaram a aplicação do patch, e o contrato Aptos do protocolo foi atualizado com o novo código. Após o relatório de mau funcionamento, a correção levou quase três horas, e a nova versão da ponte está segura contra essa vulnerabilidade.
Uma mudança crítica associada ao novo patch foi a remoção da palavra-chave 'entry' da função publish_event. O patch atualizado também rebaixou os "limites de taxa do governador" no Aptos de US$ 5 milhões para US$ 1 milhão, o que reduz significativamente os saques do Aptos para um máximo de US$ 321 milhões por dia. Esta medida ajuda a evitar potenciais perdas substanciais caso ocorra outra avaria. A CertiK acrescentou que o uso diário é atualmente inferior a US$ 1 milhão, sugerindo que esse limite não deve atrapalhar a maioria dos usuários.
A Wormhole também realizou uma "análise retrospectiva" para verificar se o mau funcionamento teve alguma influência nos fundos dos usuários. Sua conclusão foi que nenhum fundo foi transferido ilegitimamente, verificando se os saldos dos usuários estavam seguros.
O Wormhole já perdeu a detecção oportuna de falhas de segurança. Em 2022, sofreu um prejuízo de mais de US$ 321 milhões quando uma falha no pedaço Solana da ponte permitiu que um invasor produzisse tokens sem suporte. No entanto, esse bug foi corrigido mais tarde, e os usuários foram compensados. Em janeiro, a Wormhole recuperou US$ 1 bilhão em valor total bloqueado, sugerindo que alguns usuários confiam em suas medidas de segurança aprimoradas.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.