CertiK oppdaget og lappet en stor sikkerhetsbrist i Wormhole-broen på Aptos-nettverket, noe som potensielt kunne ha spart 5 millioner dollar.
Sårbarheten kunne ha gjort det mulig for en angriper å opprette falske tokenoverføringer, men CertiKs raske handling sikret brukernes midler.
Aptos’ ormehullsbro med en sikkerhetsbrist på 5 millioner dollar oppdaget
CertiK fant feilen i Wormhole-broen på Aptos og rapporterte den til Wormhole-teamet. Problemet skyldtes en feilaktig implementering av MOVE-programmeringsspråkets “public(friend)”- og “entry”-modifikatorer.
Modifikatoren “public(friend)” gjør at funksjoner kan kalles av andre i samme modul eller av spesifiserte eksterne kontoer. Modifikatoren “entry” gjør det derimot mulig for en hvilken som helst ekstern konto å kalle en funksjon.
Broen hadde en funksjon kalt “publish_event”, som var ment å kunngjøre hendelser som tokenoverføringer. Denne funksjonen skulle bare kunne kalles av andre funksjoner i samme modul eller visse spesifiserte eksterne enheter. Funksjonen ble imidlertid modifisert av både “public(friend)” og “entry”, noe som gjorde det mulig for hvem som helst å kalle “publish_event”, selv om de ikke var godkjent.
Denne feilen kunne ha gjort det mulig for en angriper å opprette falske transaksjoner, som så ut til å flytte tokens fra en konto til en annen uten å flytte faktiske tokens. Disse falske hendelsene kunne ha fått Ethereum-versjonen av broen til å utstede eller låse opp tokens uten reelle innskudd som støttet dem på Aptos-siden, noe som potensielt kunne ha tappet opptil 5 millioner dollar.
Certik’s raske tiltak for å lappe og sikre Wormhole Bridge
Etter å ha oppdaget feilen, informerte CertiK Wormhole-teamet umiddelbart den 5. desember 2023. Teamet utviklet og testet en oppdatering for å tette sikkerhetshullet. De informerte protokollens voktere, som godkjente oppdateringen gjennom en avstemning med flere signaturer. Protokollens Aptos-kontrakt ble deretter oppgradert, slik at broen ble sikret. Denne prosessen tok omtrent tre timer.
Les mer om dette: Crypto Scam Projects: Hvordan oppdage falske tokens
I tillegg til å fjerne nøkkelordet “entry” fra publish_event-funksjonen, begrenset den nye oppdateringen også “governor rate limits” på Aptos fra 5 millioner dollar til 1 million dollar. Dette strategiske trekket hadde som mål å begrense potensielle tap fra fremtidige utnyttelser. Certik bemerket at den nåværende bruken er under 1 million dollar daglig, så hastighetsbegrensningen bør ikke påvirke de fleste brukere.
“Denne casestudien understreker ikke bare den kritiske rollen proaktiv sikkerhetspraksis spiller, men viser også hvor viktig programvare med åpen kildekode er for å heve sikkerhets- og åpenhetsstandardene i hele Web3-verdenen”, legger CertiK til.
Wormhole gjennomførte også en retrospektiv analyse for å sjekke om problemet påvirket noen brukeres midler. Studien bekreftet at ingen midler ble overført ulovlig, og at brukernes saldoer forble trygge.
Dette er ikke første gang Wormhole har stått overfor sikkerhetsutfordringer. I 2022 tapte broen over 321 millioner dollar på grunn av en feil i Solana-delen av broen, slik at en angriper kunne prege tokens uten sikkerhetskopi. Til tross for dette tilbakeslaget forbedret Wormhole sin sikkerhetspraksis og gjenvunnet 1 milliard dollar i total verdi låst.
Trusted
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
