27 августа компания Asymmetric Research обнаружила критическую ошибку в Noble-CCTP компании Circle, компоненте протокола межцепочной передачи USDC (USDC), в сети Cosmos.
По данным охранной фирмы Web3, злоумышленник потенциально мог обойти процесс проверки отправителя сообщений протокола межцепочной передачи, чтобы создать поддельные токены USDC на мосту Noble.
Точнее, обработчик «ReceiveMessage» Noble-CCTP принимал «BurnMessages» от любого отправителя без предварительной проверки того, что мостовое сообщение было отправлено с проверенного адреса «TokenMessenger» в исходной цепочке. Охранная фирма описала уязвимость более подробно:
«Злоумышленник мог воспользоваться этим и запустить вредоносные монеты USDC, отправив поддельное сообщение BurnMessage непосредственно через контракт CCTP MessageTransmitter, используя адрес модуля Noble-CCTP и идентификатор цепи Noble в качестве пункта назначения CCTP».
В Asymmetric Research объяснили, что изначально проблема заключалась в бесконечном сбое монетного двора, но не могла быть связана с тем, что Нобл установил лимит монетного двора в размере примерно 35 миллионов долларов США.
В заключение компания по обеспечению безопасности Web3 отметила, что ни один пользователь не потерял средства и ни один злоумышленник не смог успешно воспользоваться уязвимостью и начать атаку. На момент написания этой статьи Circle исправила программную ошибку.
Связанный: Circle предлагает новую структуру риска капитала для стейблкоинов
В мае 2024 года аналогичная уязвимость была обнаружена в мосту «Червоточина» в сети Aptos. CertiK — еще одна фирма, занимающаяся безопасностью блокчейн, — обнаружила уязвимость, которая привела бы к эксплойту в 5 миллионов долларов, если бы уязвимость не была выявлена и устранена.
Критическая уязвимость Wormhole была вызвана проблемой с функцией «publish_event», позволяющей кому угодно вызывать контракт и создавать поддельные токены.
Однако «Червоточине» не всегда везло в плане активного устранения уязвимостей. В 2022 году протокол моста потерял 321 миллион долларов из-за громкого эксплойта, позволяющего пользователю создавать поддельные токены.
Обнаружение критической уязвимости компанией Asymmetric Research служит хорошим предзнаменованием для USDC компании Circle, которая могла пострадать от последствий, вызванных тем, что злоумышленник воспользовался этой уязвимостью.
Недавний отчет ImmuneFi, предоставленный Cointelegraph, показал, что почти 80% взломанных или эксплуатируемых криптовалют никогда не восстанавливаются с точки зрения цены.
Solana, ведущая блокчейн-платформа первого уровня, наконец-то преодолела критический барьер в 200 долларов, дав инвесторам новую…
Ценовое движение Dogecoin с начала недели было просто впечатляющим. Примечательно, что цена Dogecoin выросла вдвое…
Avalanche (AVAX) выросла более чем на 40%, достигнув критического уровня предложения, который, если его пробить,…
Эдвард Сноуден, защитник конфиденциальности и бывший сотрудник Агентства национальной безопасности (АНБ), говорил о децентрализации во…
Цена биткоина продемонстрировала весьма положительную реакцию на появление Дональда Трампа на посту следующего президента США,…
Компания Near Protocol представила амбициозный план по созданию крупнейшей в мире модели искусственного интеллекта с…