CertiK opdagede og lappede en stor sikkerhedsfejl i Wormhole-broen på Aptos-netværket, hvilket potentielt kunne spare 5 millioner dollars.
Sårbarheden kunne have gjort det muligt for en angriber at lave falske token-overførsler, men Certik’s hurtige indsats sikrede brugernes penge.
Sikkerhedsfejl i Aptos’ Wormhole Bridge til 5 mio. dollars opdaget
CertiK fandt fejlen i Wormhole-broen på Aptos og rapporterede den til Wormhole-teamet. Problemet skyldtes en forkert implementering af MOVE-programmeringssprogets ‘public(friend)’- og ‘entry’-modifikatorer.
Modifikatoren ‘public(friend)’ gør det muligt for funktioner at blive kaldt af andre i samme modul eller af specificerede eksterne konti. Modifikatoren ‘entry’ gør det derimod muligt for enhver ekstern konto at kalde en funktion.
Broen havde en funktion, der hed ‘publish_event’, som var beregnet til at annoncere begivenheder som token-overførsler. Denne funktion burde kun kunne kaldes af andre funktioner i det samme modul eller af visse specificerede eksterne enheder. Men funktionen blev ændret af både “public(friend)” og “entry”, hvilket gjorde det muligt for alle at kalde “publish_event”, selv om de ikke var godkendt.
Denne fejl kunne have gjort det muligt for en angriber at skabe falske transaktioner, der så ud til at flytte tokens fra en konto til en anden uden at flytte faktiske tokens. Disse falske hændelser kunne have fået Ethereum-versionen af broen til at præge eller låse op for tokens uden reelle indskud på Aptos-siden, hvilket potentielt kunne have drænet op til 5 millioner dollars.
Certik’s hurtige indsats for at patche og sikre Wormhole Bridge
Efter at have opdaget fejlen informerede CertiK straks Wormhole-teamet den 5. december 2023. Teamet udviklede og testede en patch for at lukke sikkerhedshullet. De informerede protokollens vogtere, som godkendte patchen gennem en afstemning med flere underskrifter. Protokollens Aptos-kontrakt blev derefter opgraderet, hvilket sikrede broen. Denne proces tog cirka tre timer.
Læs mere her: Crypto Scam-projekter: Sådan spotter du falske tokens
Udover at fjerne nøgleordet ‘entry’ fra publish_event-funktionen begrænsede den nye patch også ‘governor rate limits’ på Aptos fra 5 millioner dollars til 1 million dollars. Dette strategiske træk havde til formål at begrænse potentielle tab fra fremtidige udnyttelser. CertiK bemærkede, at den nuværende brug er under 1 million dollars dagligt, så hastighedsgrænsen burde ikke påvirke de fleste brugere.
“Dette casestudie understreger ikke kun den kritiske rolle, som proaktiv sikkerhedspraksis spiller, men hylder også open source-softwarens evne til at hæve standarderne for sikkerhed og gennemsigtighed i hele Web3-verdenen”, tilføjer CertiK.
Wormhole gennemførte også en retrospektiv analyse for at kontrollere, om problemet påvirkede brugernes midler. Undersøgelsen bekræftede, at ingen midler blev overført ulovligt, og at brugernes saldi forblev sikre.
Det er ikke første gang, Wormhole står over for sikkerhedsudfordringer. I 2022 mistede broen over 321 millioner dollars på grund af en fejl i Solana-delen af broen, som gjorde det muligt for en angriber at udstede tokens uden sikkerhedskopiering. På trods af dette tilbageslag forbedrede Wormhole sin sikkerhedspraksis og genvandt 1 milliard dollars i samlet låst værdi.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.