CertiK виявив недолік безпеки на 5 мільйонів доларів у Wormhole bridge на Aptos

Згідно з дописом у соціальних мережах платформи безпеки блокчейну CertiK, недолік безпеки в мосту Wormhole у мережі Aptos міг призвести до збитків на суму 5 мільйонів доларів, якби його не було виявлено. Платформа стверджувала, що виявила помилку та повідомила про неї команді Wormhole до того, як її вдалося розкрити. Недолік було виправлено, і міст більше не вразливий.

Aptos — це блокчейн-мережа, яка використовує мову програмування MOVE, спочатку розроблену Facebook для проекту Libra. Прихильники MOVE стверджують, що це безпечніша мова для написання смарт-контрактів порівняно з Solidity Ethereum або іншими альтернативами.

Звіт CertiK виклали у вигляді відео. Він стверджував, що недолік «виник через неправильну реалізацію модифікаторів «public(friend)» і «entry» у мові програмування MOVE». Модифікатор public(friend) дозволяє викликати функцію іншими функціями в тому самому модулі або зовнішніми обліковими записами, указаними у «списку друзів», але не іншими абонентами. З іншого боку, модифікатор ‘entry’ вказує, що функція може бути викликана будь-яким зовнішнім обліковим записом.

Міст містив функцію під назвою «publish_event», яка використовувалася для оголошення таких подій, як передача токенів. Його мали викликати тільки інші функції в тому самому модулі або певні «вказані зовнішні сутності». Однак у версії мосту, яку досліджував CertiK, функція була змінена як «public(friend)», так і «entry». Це дозволяло будь-кому викликати ‘publish_event’, навіть якщо він не був схваленим абонентом.

Через цю помилку зловмисник міг створити фальшиві транзакції, які нібито переміщували токени з одного облікового запису в інший, навіть якщо фактичні токени не переміщувалися. Ці «події» могли призвести до того, що версія мосту для Ethereum карбувала або розблокувала токени, не маючи реальних депозитів для їх підтримки на стороні Aptos. У результаті зловмисник міг вивести з мосту кошти на суму до 5 мільйонів доларів, повідомляє CertiK.

CertiK поінформував членів команди Wormhole про недолік 5 грудня 2023 року. Після дослідження звіту команда розробила та протестувала патч, щоб усунути лазівку в безпеці, і повідомила про проблему Вартових протоколу. Завдяки голосуванню з кількома підписами Опікуни схвалили впровадження виправлення, а контракт Aptos протоколу було оновлено для впровадження нового коду. Після повідомлення про недолік процес його усунення тривав приблизно три години, і нова версія мосту більше не вразлива до цього експлойту.

На додаток до видалення ключового слова «entry» із функції publish_event, новий патч також обмежив значення «обмеження ставок губернатора» для Aptos з 5 мільйонів доларів США до 1 мільйона доларів США, фактично запобігаючи зняттю з Aptos понад 1 мільйона доларів США на день. Це було зроблено для обмеження збитків у разі майбутнього експлойту. CertiK стверджував, що поточне використання становить менше 1 мільйона доларів на день, маючи на увазі, що обмеження швидкості не повинно впливати на більшість користувачів.

Wormhole також провів «ретроспективний аналіз», щоб визначити, чи вплинула ця проблема на кошти користувачів. Вони дійшли висновку, що жодних коштів не було незаконно переведено, а баланси користувачів у безпеці.

Wormhole не завжди вдавалося виявити недоліки безпеки до того, як їх використають. У 2022 році він втратив понад 321 мільйон доларів, коли помилка в частині мосту Solana дозволила зловмиснику карбувати незахищені токени. Однак пізніше команда виправила помилку та компенсувала користувачам. У січні Wormhole повернула собі загальну суму в розмірі 1 мільярда доларів, вперше після інциденту, показавши, що деякі користувачі вважають, що її методи безпеки покращилися.

За темою: помилки у форку Gains Network дозволяють трейдерам отримувати 900% прибутку від кожної угоди: звіт