CertiK ने Aptos नेटवर्क पर वर्महोल ब्रिज में $5M सुरक्षा दोष को विफल किया
Summary:
ब्लॉकचेन सुरक्षा कंपनी CertiK ने Aptos नेटवर्क पर वर्महोल ब्रिज के भीतर संभावित रूप से हानिकारक $5 मिलियन सुरक्षा दोष की खोज की और उसे संबोधित किया। मूव प्रोग्रामिंग भाषा से जुड़े बग को कथित तौर पर किसी भी नुकसान से पहले पैच किया गया था। जवाब में, भविष्य में सुरक्षा चूक की स्थिति में पर्याप्त नुकसान को रोकने के लिए Aptos से दैनिक निकासी की सीमा घटाकर $1 मिलियन कर दी गई थी। कंपनी ने उपयोगकर्ताओं के शेष राशि को सत्यापित करने के लिए "लुक-बैक विश्लेषण" किया, जिसमें निष्कर्ष निकाला गया कि कोई भी धन अवैध रूप से स्थानांतरित नहीं किया गया था। पिछली गड़बड़ियों के बावजूद, वर्महोल ने उपयोगकर्ता विश्वास हासिल कर लिया है, $ 1 बिलियन के कुल मूल्य को पुनः प्राप्त किया है।
Aptos नेटवर्क पर वर्महोल ब्रिज के भीतर एक सुरक्षा की कमी का पता नहीं चलने पर $ 5 मिलियन का भारी नुकसान होने की संभावना थी, जैसा कि ब्लॉकचेन सुरक्षा प्रदाता CertiK के सोशल मीडिया पर एक पोस्ट से पता चला है। कंपनी का दावा है कि आपदा आने से पहले वर्महोल की टीम को खराबी की पहचान और सूचना दी गई थी। बग को तब से ठीक कर दिया गया है, यह सुनिश्चित करते हुए कि पुल अब अतिसंवेदनशील नहीं है।
Aptos एक ब्लॉकचेन नेटवर्क है जो MOVE प्रोग्रामिंग भाषा का उपयोग करता है, जिसे सबसे पहले फेसबुक द्वारा अपने लिब्रा प्रोजेक्ट के लिए तैयार किया गया था। MOVE के अधिवक्ताओं का तर्क है कि यह Ethereum की सॉलिडिटी या अन्य विकल्पों की तुलना में स्मार्ट कॉन्ट्रैक्ट्स को क्राफ्ट करने के लिए अधिक सुरक्षित प्रारूप प्रदान करता है।
CertiK ने अपनी रिपोर्ट एक वीडियो प्रारूप में प्रस्तुत की। उनके अनुसार, खराबी MOVE प्रोग्रामिंग भाषा के भीतर 'सार्वजनिक (मित्र)' और 'प्रविष्टि' संशोधक के गलत आत्मसात से उत्पन्न हुई। पूर्व संशोधक एक फ़ंक्शन को समान मॉड्यूल के भीतर या "मित्र" के रूप में सूचीबद्ध बाहरी खातों द्वारा दूसरों द्वारा लागू करने की अनुमति देता है, लेकिन दूसरों को नहीं। इसके विपरीत, 'प्रविष्टि' संशोधक इंगित करता है कि किसी भी बाहरी खाते द्वारा एक फ़ंक्शन लागू किया जा सकता है।
पुल में 'publish_event' नामक एक फ़ंक्शन शामिल था, जिसका उपयोग टोकन स्थानान्तरण जैसी घटनाओं को घोषित करने के लिए किया जाता था। यह फ़ंक्शन विशेष रूप से एक ही फ़ंक्शन के भीतर या "निर्दिष्ट बाहरी संस्थाओं" द्वारा अन्य मॉड्यूल द्वारा लागू किया जाना था। हालांकि, पुल के सर्टिक के विश्लेषण में, फ़ंक्शन को 'सार्वजनिक (मित्र)' और 'प्रविष्टि' दोनों द्वारा संशोधित किया गया था। नतीजतन, कोई भी, यहां तक कि अस्वीकृत कॉलर, 'publish_event" को ट्रिगर कर सकता है।
इस खराबी के लिए धन्यवाद, एक हमलावर ने काल्पनिक लेनदेन किया हो सकता है जो टोकन को एक खाते से दूसरे खाते में स्थानांतरित किए जाने का भ्रम देता है, बिना किसी वास्तविक टोकन के। ये कृत्रिम 'घटनाएँ' पुल के एथेरियम संस्करण को Aptos की ओर से समर्थन करने वाले किसी भी वास्तविक जमा के बिना टोकन बनाने या अनब्लॉक करने का कारण बन सकती थीं। सर्टिक ने दावा किया कि इस स्थिति से हमलावर पुल से $ 5 मिलियन तक निकल सकता है।
वर्महोल टीम को 5 दिसंबर, 2023 को CertiK द्वारा खराबी के बारे में सूचित किया गया था। रिपोर्ट का निरीक्षण करने के बाद, टीम ने सुरक्षा अंतराल को दूर करने के लिए एक पैच तैयार किया और मूल्यांकन किया। प्रोटोकॉल के अभिभावकों को भी इस मुद्दे से अवगत कराया गया। एक बहु-हस्ताक्षर वोट के बाद, अभिभावकों ने पैच के आवेदन को मंजूरी दे दी, और प्रोटोकॉल के Aptos अनुबंध को नए कोड के साथ अपग्रेड किया गया। खराबी की रिपोर्ट के बाद, फिक्स में लगभग तीन घंटे लगे, और नया ब्रिज संस्करण इस भेद्यता से सुरक्षित है।
नए पैच से जुड़ा एक महत्वपूर्ण परिवर्तन publish_event फ़ंक्शन से 'एंट्री' कीवर्ड को हटाना था। इसी तरह अपडेटेड पैच ने Aptos पर "गवर्नर दर सीमा" को $5 मिलियन से घटाकर $1 मिलियन कर दिया, इससे Aptos निकासी को प्रति दिन अधिकतम $321 मिलियन तक सीमित कर दिया गया। यह उपाय संभावित पर्याप्त नुकसान को रोकने में मदद करता है एक और खराबी होनी चाहिए। CertiK ने कहा कि दैनिक उपयोग वर्तमान में $ 1 मिलियन से कम है, यह सुझाव देते हुए कि इस कैप को अधिकांश उपयोगकर्ताओं को बाधित नहीं करना चाहिए।
वर्महोल ने यह पता लगाने के लिए "लुक-बैक विश्लेषण" भी किया कि क्या खराबी का उपयोगकर्ता धन पर कोई प्रभाव पड़ा है। उनका निष्कर्ष यह था कि कोई भी धन अवैध रूप से स्थानांतरित नहीं किया गया था, यह सत्यापित करना कि उपयोगकर्ता शेष सुरक्षित थे।
वर्महोल पहले सुरक्षा चूक का समय पर पता लगाने से चूक गया है। 2022 में, इसे $321 मिलियन से अधिक का नुकसान हुआ जब पुल के सोलाना टुकड़े में एक गड़बड़ ने एक हमलावर को असमर्थित टोकन बनाने में सक्षम बनाया। हालांकि, बाद में इस बग को ठीक कर लिया गया और यूजर्स को मुआवजा दिया गया। जनवरी तक, वर्महोल ने कुल लॉक मूल्य में $ 1 बिलियन हासिल कर लिया था, यह सुझाव देते हुए कि कुछ उपयोगकर्ता इसके बढ़े हुए सुरक्षा उपायों पर भरोसा करते हैं।
Published At
5/13/2024 10:46:01 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.