CertiK löysi ja korjasi suuren tietoturva-aukon Aptos-verkon madonreikäsillassa, mikä voi säästää 5 miljoonaa dollaria.
Tämä haavoittuvuus olisi voinut antaa hyökkääjän luoda väärennettyjä token-siirtoja, mutta CertiK:n nopea toiminta turvasi käyttäjien varat.
Aptosin madonreikäsilta 5 miljoonan dollarin tietoturvavirhe löydetty
CertiK löysi vian Aptosin madonreikäsillasta ja ilmoitti siitä madonreikätiimille. Ongelma johtui MOVE-ohjelmointikielen “public(friend)”- ja “entry”-modifikaattoreiden virheellisestä toteutuksesta.
‘public(friend)’ -määritteen avulla muut samassa moduulissa olevat tai määritetyt ulkoiset tilit voivat kutsua toimintoja. Sitä vastoin “merkinnän” muuntimen avulla mikä tahansa ulkoinen tili voi kutsua toimintoa.
Sillalla oli toiminto nimeltä “publish_event”, jonka tarkoituksena oli ilmoittaa tapahtumista, kuten token-siirroista. Tätä toimintoa olisi pitänyt kutsua vain saman moduulin muilla toiminnoilla tai tietyillä määritellyillä ulkoisilla yksiköillä. Toimintoa kuitenkin muokattiin sekä ‘public(friend)’ että “entry”, jolloin kuka tahansa voi kutsua “publish_event”, vaikka heitä ei olisi hyväksytty.
Tämä virhe olisi voinut antaa hyökkääjän luoda väärennettyjä tapahtumia, jotka näyttävät siirtävän rahakkeita tililtä toiselle siirtämättä todellisia tunnuksia. Nämä väärennetyt tapahtumat olisivat voineet saada sillan Ethereum-version lyömään tai avaamaan rahakkeita ilman, että todelliset talletukset tukisivat niitä Aptosin puolella, mikä olisi voinut tyhjentää jopa 5 miljoonaa dollaria.
CertiK:n nopea toiminta madonreikäsillan paikkaamiseksi ja turvaamiseksi
Havaittuaan virheen CertiK ilmoitti asiasta välittömästi madonreikätiimille 5. joulukuuta 2023. Tiimi kehitti ja testasi korjaustiedoston tietoturva-aukon sulkemiseksi. He ilmoittivat asiasta protokollan vartijoille, jotka hyväksyivät korjaustiedoston usean allekirjoituksen äänestyksellä. Pöytäkirjan Aptos-sopimus päivitettiin sitten sillan turvaamiseksi. Tämä prosessi kesti noin kolme tuntia.
Lue lisää: Kryptohuijausprojektit: Kuinka havaita väärennetyt rahakkeet
Sen lisäksi, että uusi korjaustiedosto poisti avainsanan “entry” publish_event toiminnosta, se rajoitti myös Aptosin “kuvernöörin korkorajat” 5 miljoonasta dollarista 1 miljoonaan dollariin. Tällä strategisella liikkeellä pyrittiin rajoittamaan tulevien hyväksikäyttöjen mahdollisia tappioita. CertiK totesi, että nykyinen käyttö on alle 1 miljoonaa dollaria päivässä, joten nopeusrajan ei pitäisi vaikuttaa useimpiin käyttäjiin.
“Tämä tapaustutkimus ei ainoastaan korosta ennakoivien tietoturvakäytäntöjen kriittistä roolia, vaan myös juhlistaa avoimen lähdekoodin ohjelmistojen voimaa tietoturva- ja läpinäkyvyysstandardien nostamisessa Web3-maailmassa”, CertiK lisäsi.
Wormhole suoritti myös retrospektiivisen analyysin tarkistaakseen, vaikuttiko ongelma käyttäjien varoihin. Tutkimus vahvisti, että varoja ei siirretty laittomasti, ja käyttäjien saldot pysyivät turvassa.
Tämä ei ole ensimmäinen kerta, kun Wormhole kohtaa turvallisuushaasteita. Vuonna 2022 silta menetti yli 321 miljoonaa dollaria sillan Solana-osassa olevan virheen vuoksi, jolloin hyökkääjä voi lyödä tukemattomia rahakkeita. Tästä takaiskusta huolimatta Wormhole paransi turvallisuuskäytäntöjään ja sai takaisin 1 miljardin dollarin kokonaisarvon lukittuna.
Trusted
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
