27 августа компания Asymmetric Research обнаружила критическую ошибку в Noble-CCTP компании Circle, компоненте протокола межцепочной передачи USDC (USDC), в сети Cosmos.
По данным охранной фирмы Web3, злоумышленник потенциально мог обойти процесс проверки отправителя сообщений протокола межцепочной передачи, чтобы создать поддельные токены USDC на мосту Noble.
Точнее, обработчик «ReceiveMessage» Noble-CCTP принимал «BurnMessages» от любого отправителя без предварительной проверки того, что мостовое сообщение было отправлено с проверенного адреса «TokenMessenger» в исходной цепочке. Охранная фирма описала уязвимость более подробно:
«Злоумышленник мог воспользоваться этим и запустить вредоносные монеты USDC, отправив поддельное сообщение BurnMessage непосредственно через контракт CCTP MessageTransmitter, используя адрес модуля Noble-CCTP и идентификатор цепи Noble в качестве пункта назначения CCTP».
В Asymmetric Research объяснили, что изначально проблема заключалась в бесконечном сбое монетного двора, но не могла быть связана с тем, что Нобл установил лимит монетного двора в размере примерно 35 миллионов долларов США.
В заключение компания по обеспечению безопасности Web3 отметила, что ни один пользователь не потерял средства и ни один злоумышленник не смог успешно воспользоваться уязвимостью и начать атаку. На момент написания этой статьи Circle исправила программную ошибку.
Связанный: Circle предлагает новую структуру риска капитала для стейблкоинов
Благородный перекрестный мост Circle — не единственный
В мае 2024 года аналогичная уязвимость была обнаружена в мосту «Червоточина» в сети Aptos. CertiK — еще одна фирма, занимающаяся безопасностью блокчейн, — обнаружила уязвимость, которая привела бы к эксплойту в 5 миллионов долларов, если бы уязвимость не была выявлена и устранена.
Критическая уязвимость Wormhole была вызвана проблемой с функцией «publish_event», позволяющей кому угодно вызывать контракт и создавать поддельные токены.
Однако «Червоточине» не всегда везло в плане активного устранения уязвимостей. В 2022 году протокол моста потерял 321 миллион долларов из-за громкого эксплойта, позволяющего пользователю создавать поддельные токены.
Почти 80% взломанных криптовалют не восстанавливаются в цене
Обнаружение критической уязвимости компанией Asymmetric Research служит хорошим предзнаменованием для USDC компании Circle, которая могла пострадать от последствий, вызванных тем, что злоумышленник воспользовался этой уязвимостью.
Недавний отчет ImmuneFi, предоставленный Cointelegraph, показал, что почти 80% взломанных или эксплуатируемых криптовалют никогда не восстанавливаются с точки зрения цены.
