CertiK hat eine große Sicherheitslücke in der Wormhole-Brücke im Aptos-Netzwerk entdeckt und behoben, wodurch potenziell 5 Millionen US-Dollar eingespart werden konnten.
Diese Schwachstelle hätte es einem Angreifer ermöglichen können, gefälschte Token-Transfers zu erstellen, aber die schnelle Aktion von CertiK schützte die Gelder der Benutzer.
Sicherheitslücke im Wert von 5 Millionen US-Dollar in Aptos Wormhole Bridge entdeckt
CertiK hat den Fehler in der Wormhole-Brücke auf Aptos identifiziert und ihn dem Wormhole-Team gemeldet. Das Problem resultierte aus der falschen Implementierung der Modifikatoren „public(friend)“ und „entry“ der Programmiersprache MOVE.
Der Modifikator „public(friend)“ ermöglicht den Aufruf von Funktionen durch andere innerhalb desselben Moduls oder durch angegebene externe Konten. Im Gegensatz dazu ermöglicht der Modifikator „entry“ jedem externen Konto, eine Funktion aufzurufen.
Die Bridge verfügte über eine Funktion namens „publish_event“, die Ereignisse wie Token-Transfers ankündigen sollte. Diese Funktion sollte nur von anderen Funktionen innerhalb desselben Moduls oder von bestimmten angegebenen externen Entitäten aufrufbar sein. Allerdings wurde die Funktion sowohl von „public(friend)“ als auch von „entry“ geändert, sodass jeder „publish_event“ aufrufen kann, auch wenn dies nicht genehmigt wurde.
Dieser Fehler hätte es einem Angreifer ermöglichen können, gefälschte Transaktionen zu erstellen und dabei offenbar Token von einem Konto auf ein anderes zu verschieben, ohne die eigentlichen Token zu verschieben. Diese gefälschten Ereignisse könnten dazu geführt haben, dass die Ethereum-Version der Brücke Token prägte oder freischaltete, ohne dass Aptos tatsächliche Sicherungseinzahlungen leistete, was möglicherweise bis zu 5 Millionen US-Dollar kostete.
Schnelles Eingreifen von CertiK zur Reparatur und zum Schutz der Wurmlochbrücke
Nachdem CertiK die Schwachstelle entdeckt hatte, benachrichtigte CertiK am 5. Dezember 2023 umgehend das Wormhole-Team. Das Team entwickelte und testete einen Patch, um die Sicherheitslücke zu schließen. Sie informierten die Protocol Guardians, die den Patch durch eine Abstimmung mit mehreren Unterschriften genehmigten. Anschließend wurde der Aptos-Vertrag des Protokolls aktualisiert, wodurch die Brücke sicher wurde. Dieser Vorgang dauerte etwa drei Stunden.
Weiterlesen: Krypto-Betrugsprojekte: So erkennen Sie gefälschte Token
Der neue Patch entfernte nicht nur das Schlüsselwort „entry“ aus der Funktion „publish_event“, sondern begrenzte auch die „Governor's Rate Limits“ für Aptos von 5 Millionen US-Dollar auf 1 Million US-Dollar. Dieser strategische Schritt zielte darauf ab, potenzielle Verluste durch zukünftige Exploits zu begrenzen. CertiK stellte fest, dass der aktuelle Verbrauch weniger als 1 Million US-Dollar pro Tag beträgt, sodass die Geschwindigkeitsbegrenzung die meisten Benutzer nicht beeinträchtigen dürfte.
„Diese Fallstudie unterstreicht nicht nur die entscheidende Rolle proaktiver Sicherheitspraktiken, sondern würdigt auch die Leistungsfähigkeit von Open-Source-Software bei der Erhöhung der Sicherheits- und Transparenzstandards in der Web3-Welt“, fügte CertiK hinzu .
Wormhole führte außerdem eine retrospektive Analyse durch, um festzustellen, ob sich das Problem auf die Gelder der Nutzer auswirkte. Die Studie bestätigte, dass keine Gelder illegal transferiert wurden und dass die Guthaben der Benutzer sicher blieben.
Dies ist nicht das erste Mal, dass Wormhole mit Sicherheitsherausforderungen konfrontiert wird. Im Jahr 2022 verlor die Brücke über 321 Millionen US-Dollar aufgrund eines Fehlers im Solana-Teil der Brücke, der es einem Angreifer ermöglichte, Token ohne Deckung zu prägen. Trotz dieses Rückschlags verbesserte Wormhole seine Sicherheitspraktiken und erlangte den gesamten gesperrten Wert von 1 Milliarde US-Dollar zurück.
Der Beitrag „Kritische 5-Millionen-Dollar-Sicherheitslücke in Aptos Wormhole Bridge – Certik“ erschien zuerst auf BeInCrypto .