CertiK, Aptos Network'teki Solucan Deliği Köprüsündeki 5 Milyon Dolarlık Güvenlik Açığını Engelledi
Summary:
Blockchain güvenlik şirketi CertiK, Aptos ağındaki Wormhole köprüsünde potansiyel olarak zarar verici 5 milyon dolarlık bir güvenlik açığı keşfetti ve giderdi. MOVE programlama diline bağlı olan hatanın, herhangi bir hasar meydana gelmeden önce yamalandığı bildirildi. Buna karşılık, gelecekteki güvenlik gecikmeleri durumunda önemli kayıpları önlemek için Aptos'tan günlük para çekme limiti $1 milyona düşürüldü. Şirket, kullanıcıların bakiyelerini doğrulamak için bir "geriye dönük analiz" yaptı ve hiçbir fonun yasa dışı bir şekilde transfer edilmediği sonucuna vardı. Önceki aksaklıklara rağmen, Wormhole kullanıcı güvenini yeniden kazandı ve kilitli toplam değeri 1 milyar doları geri aldı.
Blockchain güvenlik sağlayıcısı CertiK'in sosyal medyadaki bir gönderisinde ortaya çıktığı gibi, Aptos ağındaki Wormhole köprüsündeki bir güvenlik açığı, tespit edilmediği takdirde 5 milyon dolarlık büyük bir kayba yol açma potansiyeline sahipti. Şirket, felaket meydana gelmeden önce arızayı fark ettiğini ve Wormhole'un ekibine bildirdiğini iddia ediyor. Hata o zamandan beri düzeltildi ve köprünün artık duyarlı olmaması sağlandı.
Aptos, ilk olarak Facebook tarafından Libra projeleri için hazırlanan MOVE programlama dilini kullanan bir blok zinciri ağıdır. MOVE'un savunucuları, Ethereum'un Solidity'sine veya diğer alternatiflerine kıyasla akıllı sözleşmeler oluşturmak için daha güvenli bir format sağladığını savunuyor.
CertiK, raporunu video formatında sundu. Onlara göre arıza, MOVE programlama dili içindeki 'public(friend)' ve 'entry' değiştiricilerinin yanlış özümsenmesinden kaynaklanıyordu. Önceki değiştirici, bir işlevin aynı modül içindeki diğer kişiler tarafından veya "arkadaşlar" olarak listelenen harici hesaplar tarafından çağrılmasına izin verir, ancak diğerleri tarafından çağrılmaz. Buna karşılık, 'giriş' değiştiricisi, bir işlevin herhangi bir harici hesap tarafından çağrılabileceğini gösterir.
Köprü, token transferleri gibi olayları bildirmek için kullanılan 'publish_event' adlı bir işlev içeriyordu. Bu işlevin yalnızca aynı işlev içindeki diğer modüller veya "belirtilen harici varlıklar" tarafından çağrılması amaçlanmıştır. Bununla birlikte, CertiK'in köprü analizinde, işlev hem 'public(friend)' hem de 'entry' tarafından değiştirildi. Sonuç olarak, herkes, hatta onaylanmamış arayanlar bile 'publish_event' tetikleyebilir.
Bu arıza sayesinde, bir saldırgan, herhangi bir gerçek token hareket etmeden tokenlerin bir hesaptan diğerine aktarıldığı yanılsamasını veren hayali işlemler üretmiş olabilir. Bu yapay 'olaylar', köprünün Ethereum versiyonunun, Aptos tarafında onları destekleyen herhangi bir gerçek mevduat olmadan token oluşturmasına veya blokajını kaldırmasına neden olmuş olabilir. CertiK, bu durumun bir saldırganın köprüden 5 milyon dolara kadar para çekmesine yol açmış olabileceğini iddia etti.
Solucan Deliği ekibi, 5 Aralık 2023'te CertiK tarafından arıza konusunda bilgilendirildi. Raporu inceledikten sonra ekip, güvenlik açığını gidermek için bir yama tasarladı ve değerlendirdi. Protokolün Muhafızları da konudan haberdar edildi. Çok imzalı bir oylamanın ardından, Muhafızlar yamanın başvurusunu onayladı ve protokolün Aptos sözleşmesi yeni kodla yükseltildi. Arıza raporunu yayınlayın, düzeltme yaklaşık üç saat sürdü ve yeni köprü sürümü bu güvenlik açığından korunuyor.
Yeni yama ile ilgili kritik bir değişiklik, 'entry' anahtar kelimesinin publish_event işlevinden kaldırılmasıydı. Güncellenen yama aynı şekilde Aptos'taki "vali oran limitlerini" 5 milyon dolardan 1 milyon dolara düşürdü, bu da Aptos'tan para çekme işlemlerini günde maksimum 321 milyon dolara düşürdü. Bu önlem, başka bir arıza meydana gelmesi durumunda olası önemli kayıpların önlenmesine yardımcı olur. CertiK, günlük kullanımın şu anda 1 milyon dolardan az olduğunu ve bu sınırın çoğu kullanıcıyı rahatsız etmemesi gerektiğini öne sürdü.
Wormhole ayrıca, arızanın kullanıcı fonları üzerinde herhangi bir etkisi olup olmadığını belirlemek için bir "geriye dönük analiz" yaptı. Vardıkları sonuç, hiçbir fonun gayri meşru bir şekilde transfer edilmediği ve kullanıcı bakiyelerinin güvende olduğunu doğrulamaktı.
Wormhole daha önce güvenlik açıklarının zamanında tespit edilmesini kaçırmıştı. 2022'de, köprünün Solana parçasındaki bir aksaklık, bir saldırganın desteklenmeyen tokenler üretmesini sağladığında 321 milyon doların üzerinde bir kayıp yaşadı. Ancak, bu hata daha sonra düzeltildi ve kullanıcılara tazminat ödendi. Ocak ayına kadar Wormhole, toplam kilitli değerde 1 milyar doları geri kazandı ve bu da bazı kullanıcıların gelişmiş güvenlik önlemlerine güvendiğini gösteriyor.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.