Se mer

Kritisk säkerhetsbrist på 5 miljoner dollar i Aptos Wormhole Bridge – Certik

2 mins
Uppdaterad av Ryan Boltman

I korthet

  • CertiK upptäckte och åtgärdade en säkerhetsbrist på 5 miljoner dollar i Aptos Wormhole-brygga.
  • Felet gjorde det möjligt för vem som helst att anropa funktionen "publish_event", vilket potentiellt möjliggjorde falska transaktioner.
  • Certik informerade snabbt Wormhole-teamet, som utvecklade och implementerade en patch inom tre timmar, vilket säkrade bron.

Certik upptäckte och patchade en stor säkerhetsbrist i Wormhole-bryggan i Aptos-nätverket, vilket potentiellt kunde spara 5 miljoner dollar.

Denna sårbarhet kunde ha gjort det möjligt för en angripare att skapa falska tokenöverföringar, men Certik’s snabba åtgärd säkrade användarnas medel.

Aptos Wormhole Bridge 5 miljoner dollar säkerhetsbrist upptäckt

CertiK hittade felet i Wormhole-bryggan på Aptos och rapporterade det till Wormhole-teamet. Problemet berodde på en felaktig implementering av MOVE-programmeringsspråkets modifierare “public(friend)” och “entry”.

Modifieraren ‘public(friend)’ gör att funktioner kan anropas av andra inom samma modul eller av specificerade externa konton. Modifieraren “entry” däremot gör att vilket externt konto som helst kan anropa en funktion.

Bridgen hade en funktion som hette “publish_event”, avsedd att tillkännage händelser som tokenöverföringar. Denna funktion borde endast ha kunnat anropas av andra funktioner inom samma modul eller vissa specificerade externa enheter. Funktionen modifierades dock av både “public(friend)” och “entry”, vilket gjorde det möjligt för vem som helst att anropa “publish_event”, även om de inte var godkända.

Den här bristen kunde ha gjort det möjligt för en angripare att skapa falska transaktioner, som såg ut att flytta tokens från ett konto till ett annat utan att flytta faktiska tokens. Dessa falska händelser kunde ha fått Ethereum-versionen av bron att prägla eller låsa upp tokens utan verkliga insättningar som backade upp dem på Aptos-sidan, vilket potentiellt kunde dränera upp till 5 miljoner dollar.

Certik’s snabba åtgärder för att lappa och säkra Wormhole Bridge

Efter att ha upptäckt felet informerade Certik omedelbart Wormhole-teamet den 5 december 2023. Teamet utvecklade och testade en patch för att täppa till säkerhetsluckan. De informerade protokollets Guardians, som godkände patchen genom en omröstning med flera signaturer. Protokollets Aptos-kontrakt uppgraderades sedan, vilket säkrade bron. Denna process tog ungefär tre timmar.

Läs mer om detta: Crypto Scam-projekt: Hur man upptäcker falska tokens

Förutom att ta bort nyckelordet “entry” från publish_event-funktionen begränsade den nya patchen också “governor rate limits” på Aptos från 5 miljoner dollar till 1 miljon dollar. Detta strategiska drag syftade till att begränsa potentiella förluster från framtida exploateringar. Certik noterade att den nuvarande användningen ligger under 1 miljon dollar per dag, så hastighetsbegränsningen bör inte påverka de flesta användare.

“Den här fallstudien understryker inte bara den kritiska roll som proaktiva säkerhetsmetoder spelar, utan visar också hur programvara med öppen källkod kan höja säkerhets- och transparensstandarderna i Web3-världen”, tillägger CertiK.

Wormhole genomförde också en retrospektiv analys för att kontrollera om problemet påverkade några användares medel. Studien bekräftade att inga medel överfördes olagligt och att användarnas saldon förblev säkra.

Detta är inte första gången Wormhole står inför säkerhetsutmaningar. År 2022 förlorade bron över 321 miljoner dollar på grund av en bugg i Solana-delen av bron, vilket gjorde det möjligt för en angripare att mynta osäkrade tokens. Trots detta bakslag förbättrade Wormhole sin säkerhetspraxis och återkrävde 1 miljard dollar i totalt låst värde.

Trusted

Disclaimer

All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.

da475f486647738b39c0c88a3e7d115d.jpg
Efter att ha praktiserat på ett inhemskt blockchain-mediaföretag samtidigt som han var inskriven vid ett universitet i internationella relationer, arbetade han som praktikant på två utländska kryptotillgångsbörser. För närvarande fokuserar han som journalist på den japanska marknaden för kryptotillgångar, både teknisk och grundläggande analys. Han har handlat med kryptotillgångar sedan 2021 och är intresserad av ekonomiska och sociala frågor.
LÄS HELA BIOGRAFIN