Виявлено та виправлено критичну помилку в Noble-CCTP від ​​Circle

27 серпня Asymmetric Research показало, що виявлено критичну помилку в Noble-CCTP компанії Circle, компоненті протоколу міжланцюгової передачі USDC (USDC), у мережі Cosmos.

Згідно з охоронною фірмою Web3, зловмисник потенційно міг обійти процес перевірки відправника повідомлень протоколу міжланцюгової передачі, щоб карбувати підроблені токени USDC на мосту Noble.

Точніше, обробник Noble-CCTP «ReceiveMessage» приймав «BurnMessages» від будь-якого відправника без попередньої перевірки того, що сполучне повідомлення надіслано з перевіреної адреси «TokenMessenger» у вихідному ланцюжку. Охоронна фірма описала вразливість більш детально:

«Зловмисник міг скористатися цим і запустити шкідливі монетні двори USDC, надіславши фальшиве повідомлення BurnMessage безпосередньо через контракт CCTP MessageTransmitter, використовуючи адресу модуля Noble-CCTP і Noble’s chain—ID як пункт призначення CCTP».

У Asymmetric Research пояснили, що проблема спочатку виглядала як нескінченний збій монетного двору, але вона не могла виникати через те, що Noble застосував ліміт монетного двору приблизно в 35 мільйонів доларів США.

Фірма безпеки Web3 підсумувала, зазначивши, що жоден користувач не втратив кошти і жоден зловмисник не зміг успішно використати вразливість і здійснити атаку. На момент написання цієї статті Circle усунув програмну помилку.

За темою: Circle пропонує нову структуру капітального ризику для стейблкойнів

Поперечний ланцюговий міст Noble від Circle не єдиний

У травні 2024 року подібну вразливість виявили в Wormhole bridge у мережі Aptos. CertiK — ще одна фірма з блокчейн-безпеки — виявила слабкість, яка призвела б до експлойту в 5 мільйонів доларів, якби вразливість не було виявлено та усунено.

Критична вразливість Wormhole була викликана проблемою з функцією «publish_event», яка дозволяла будь-кому викликати контракт і карбувати підроблені токени.

Однак Wormhole не завжди так щастило, коли справа доходить до проактивного усунення вразливостей. У 2022 році протокол мосту втратив 321 мільйон доларів через гучний експлойт, який дозволяв користувачеві карбувати підроблені токени.

Майже 80% зламаних криптовалют не відновлюються в ціні

Відкриття критичної вразливості компанією Asymmetric Research є хорошим передвістям для USDC Circle, яка, можливо, зазнала наслідків через те, що зловмисник скористався цією вразливістю.

Нещодавній звіт ImmuneFi, який поділився з Cointelegraph, показав, що майже 80% зламаних або використаних криптовалют ніколи не відновлюються з точки зору ціни.