CertiK يحبط ثغرة أمنية بقيمة 5 ملايين دولار في جسر الثقب الدودي على شبكة Aptos
Summary:
اكتشفت شركة CertiK الأمنية Blockchain وعالجت ثغرة أمنية يحتمل أن تكون ضارة بقيمة 5 ملايين دولار داخل جسر Wormhole على شبكة Aptos. وبحسب ما ورد تم تصحيح الخطأ ، المرتبط بلغة البرمجة MOVE ، قبل حدوث أي ضرر. وردا على ذلك، تم تخفيض حد السحب اليومي من أبتوس إلى 1 مليون دولار لمنع خسائر كبيرة في حالة حدوث ثغرات أمنية في المستقبل. أجرت الشركة "تحليلا للنظر" للتحقق من أرصدة المستخدمين ، وخلصت إلى أنه لم يتم تحويل أي أموال بشكل غير قانوني. على الرغم من مواطن الخلل السابقة ، استعاد Wormhole ثقة المستخدم ، واستعاد قيمة إجمالية مقفلة تبلغ 1 مليار دولار.
كان من المحتمل أن يؤدي النقص الأمني داخل جسر Wormhole على شبكة Aptos إلى خسارة هائلة قدرها 5 ملايين دولار إذا لم يتم اكتشافه ، كما كشف منشور على وسائل التواصل الاجتماعي من مزود أمان blockchain CertiK. تدعي الشركة أنها تعرفت على العطل وأبلغت عنه لفريق Wormhole قبل وقوع الكارثة. تم تصحيح الخطأ منذ ذلك الحين ، مما يضمن أن الجسر لم يعد عرضة للإصابة.
Aptos هي شبكة blockchain تستخدم لغة البرمجة MOVE ، التي صممها Facebook لأول مرة لمشروع Libra الخاص بهم. يجادل المدافعون عن MOVE بأنه يوفر تنسيقا أكثر أمانا لصياغة العقود الذكية مقارنة ب Ethereum's Solidity أو بدائل أخرى.
قدم CertiK تقريرهم بتنسيق فيديو. وفقا لهم ، نشأ العطل من استيعاب غير صحيح لمعدلات "الجمهور (الصديق)" و "الدخول" داخل لغة برمجة MOVE. يسمح المعدل السابق باستدعاء وظيفة من قبل الآخرين داخل الوحدة النمطية المتطابقة أو بواسطة حسابات خارجية مدرجة ك "أصدقاء" ، ولكن ليس الآخرين. في المقابل ، يشير معدل "الإدخال" إلى أنه يمكن استدعاء وظيفة بواسطة أي حساب خارجي.
تضمن الجسر وظيفة تسمى "publish_event" ، تستخدم للإعلان عن الأحداث مثل عمليات نقل الرمز المميز. وكان القصد من هذه الوظيفة حصرا أن تحتج بها وحدات أخرى داخل نفس الوظيفة أو من قبل "كيانات خارجية محددة". ومع ذلك ، في تحليل CertiK للجسر ، تم تعديل الوظيفة بواسطة كل من "العام (الصديق)" و "الدخول". وبالتالي ، يمكن لأي شخص ، حتى المتصلين غير المعتمدين ، تشغيل "publish_event".
بفضل هذا العطل ، قد يكون المهاجم قد اختلق معاملات وهمية تعطي الوهم بأن الرموز المميزة يتم نقلها من حساب إلى آخر دون تحريك أي رموز فعلية. كان من الممكن أن تتسبب هذه "الأحداث" المصطنعة في قيام إصدار Ethereum من الجسر بإنشاء أو إلغاء حظر الرموز المميزة دون أي ودائع حقيقية تدعمها على جانب Aptos. ادعى CertiK أن هذا الوضع كان يمكن أن يؤدي إلى استنزاف المهاجم ما يصل إلى 5 ملايين دولار من الجسر.
تم إخطار فريق Wormhole بالعطل بواسطة CertiK في 5 ديسمبر 2023. بعد فحص التقرير ، ابتكر الفريق وقيم رقعة لمعالجة الفجوة الأمنية. كما تم إبلاغ حراس البروتوكول بهذه القضية. بعد تصويت متعدد التوقيعات ، وافق الأوصياء على تطبيق التصحيح ، وتم ترقية عقد Aptos الخاص بالبروتوكول بالكود الجديد. بعد تقرير العطل ، استغرق الإصلاح ما يقرب من ثلاث ساعات ، وإصدار الجسر الجديد في مأمن من هذه الثغرة الأمنية.
كان التغيير الحاسم المرتبط بالتصحيح الجديد هو إزالة الكلمة الرئيسية "إدخال" من وظيفة publish_event. وبالمثل ، خفض التصحيح المحدث "حدود معدل المحافظ" على Aptos من 5 ملايين دولار إلى 1 مليون دولار ، مما يحد بشكل كبير من عمليات سحب Aptos إلى 321 مليون دولار كحد أقصى في اليوم. يساعد هذا الإجراء على تجنب الخسائر الكبيرة المحتملة في حالة حدوث عطل آخر. وأضاف CertiK أن الاستخدام اليومي حاليا أقل من 1 مليون دولار ، مما يشير إلى أن هذا الحد الأقصى لا ينبغي أن يعطل معظم المستخدمين.
كما أجرت Wormhole "تحليلا للنظر" للتأكد مما إذا كان للعطل أي تأثير على أموال المستخدمين. وكان استنتاجهم أنه لم يتم تحويل أي أموال بشكل غير مشروع، والتحقق من أن أرصدة المستخدمين آمنة.
غاب الثقب الدودي سابقا عن الكشف في الوقت المناسب عن الثغرات الأمنية. في عام 2022 ، عانت من خسارة تزيد عن 321 مليون دولار عندما مكن خلل في قطعة Solana من الجسر المهاجم من إنتاج رموز غير مدعومة. ومع ذلك ، تم تصحيح هذا الخطأ لاحقا ، وتم تعويض المستخدمين. بحلول يناير ، استعاد Wormhole 1 مليار دولار من إجمالي القيمة المقفلة ، مما يشير إلى أن بعض المستخدمين يثقون في إجراءاته الأمنية المحسنة.
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.