CertiK ha scoperto e risolto una grave falla di sicurezza nel ponte Wormhole sulla rete Aptos, risparmiando potenzialmente 5 milioni di dollari.
Questa vulnerabilità avrebbe potuto consentire a un utente malintenzionato di creare trasferimenti di token falsi, ma la rapida azione di CertiK ha protetto i fondi degli utenti.
Scoperta una falla nella sicurezza da 5 milioni di dollari del Wormhole Bridge di Aptos
CertiK ha individuato il difetto nel ponte Wormhole su Aptos e lo ha segnalato al team Wormhole. Il problema derivava dall'errata implementazione dei modificatori "public(friend)" e "entry" del linguaggio di programmazione MOVE.
Il modificatore 'public(friend)' consente alle funzioni di essere chiamate da altri all'interno dello stesso modulo o da account esterni specificati. Al contrario, il modificatore 'entry' consente a qualsiasi account esterno di chiamare una funzione.
Il bridge aveva una funzione chiamata "publish_event", intesa ad annunciare eventi come i trasferimenti di token. Questa funzione avrebbe dovuto essere richiamabile solo da altre funzioni all'interno dello stesso modulo o da determinate entità esterne specificate. Tuttavia, la funzione è stata modificata sia da "public(friend)" che da "entry", consentendo a chiunque di chiamare "publish_event", anche se non è stato approvato.
Questo difetto avrebbe potuto consentire a un utente malintenzionato di creare transazioni false , apparentemente spostando token da un account a un altro senza spostare i token effettivi. Questi eventi falsi avrebbero potuto far sì che la versione Ethereum del bridge coniasse o sbloccasse token senza depositi reali a sostegno da parte di Aptos, prosciugando potenzialmente fino a 5 milioni di dollari.
Azione rapida di CertiK per riparare e proteggere il ponte wormhole
Dopo aver scoperto la falla, CertiK ha immediatamente informato il team di Wormhole il 5 dicembre 2023. Il team ha sviluppato e testato una patch per chiudere la falla di sicurezza. Hanno informato i Guardiani del protocollo, che hanno approvato la patch attraverso un voto con più firme. Il contratto Aptos del protocollo è stato quindi aggiornato, mettendo in sicurezza il ponte. Questo processo ha richiesto circa tre ore.
Per saperne di più: Progetti di truffe crittografiche: come individuare token falsi
Oltre a rimuovere la parola chiave "entry" dalla funzionepublish_event, la nuova patch ha anche limitato i "limiti tariffari del governatore" su Aptos da 5 milioni di dollari a 1 milione di dollari. Questa mossa strategica mirava a limitare le potenziali perdite derivanti da futuri exploit. CertiK ha osservato che l’utilizzo attuale è inferiore a 1 milione di dollari al giorno, quindi il limite di velocità non dovrebbe influenzare la maggior parte degli utenti.
"Questo caso di studio non solo sottolinea il ruolo critico delle pratiche di sicurezza proattive, ma celebra anche il potere del software open source nell'innalzare gli standard di sicurezza e trasparenza nel mondo Web3", ha aggiunto CertiK.
Wormhole ha anche condotto un'analisi retrospettiva per verificare se il problema ha interessato i fondi degli utenti. Lo studio ha confermato che non sono stati trasferiti fondi illecitamente e che i saldi degli utenti sono rimasti al sicuro.
Questa non è la prima volta che Wormhole si trova ad affrontare sfide alla sicurezza . Nel 2022, il ponte ha perso oltre 321 milioni di dollari a causa di un bug nella parte Solana del ponte, che consentiva a un utente malintenzionato di coniare token senza supporto. Nonostante questa battuta d'arresto, Wormhole ha migliorato le proprie pratiche di sicurezza e ha recuperato 1 miliardo di dollari di valore totale bloccato.
Il post Critico difetto di sicurezza da 5 milioni di dollari in Aptos Wormhole Bridge – Certik è apparso per la prima volta su BeInCrypto .