CertiK ha scoperto e corretto una grave falla di sicurezza nel bridge Wormhole sulla rete Aptos, risparmiando potenzialmente 5 milioni di dollari.
Questa vulnerabilità avrebbe potuto consentire a un utente malintenzionato di creare falsi trasferimenti di token, ma la rapida azione di CertiK ha messo al sicuro i fondi degli utenti.
Scoperta falla di sicurezza da 5 milioni di dollari per il Wormhole Bridge di Aptos
CertiK ha trovato la falla nel ponte Wormhole su Aptos e l’ha segnalata al team di Wormhole. Il problema derivava dall’implementazione errata dei modificatori ‘public(friend)’ e ‘entry’ del linguaggio di programmazione MOVE.
Il modificatore ‘public(friend)’ consente alle funzioni di essere chiamate da altri all’interno dello stesso modulo o da account esterni specificati. Al contrario, il modificatore ‘entry’ consente a qualsiasi account esterno di chiamare una funzione.
Il bridge aveva una funzione chiamata “publish_event”, destinata ad annunciare eventi come i trasferimenti di token. Questa funzione deve essere richiamabile solo da altre funzioni all’interno dello stesso modulo o da determinate entità esterne specificate. Tuttavia, la funzione è stata modificata sia da ‘public(friend)’ che da ‘entry’, rendendo possibile a chiunque di chiamare ‘publish_event’, anche se non erano approvati.
Questo difetto potrebbe aver permesso a un utente malintenzionato di creare transazioni false, che sembrano spostare i token da un account all’altro senza spostare i token effettivi. Questi eventi fasulli potrebbero aver indotto la versione Ethereum del bridge a coniare o sbloccare token senza depositi reali che li supportassero sul lato Aptos, prosciugando potenzialmente fino a 5 milioni di dollari.
L’azione rapida di CertiK per rattoppare e mettere in sicurezza il Wormhole Bridge
Dopo aver scoperto la falla, CertiK ha immediatamente informato il team di Wormhole il 5 dicembre 2023. Il team ha sviluppato e testato una patch per chiudere la falla di sicurezza. Hanno informato i Guardiani del protocollo, che hanno approvato la patch attraverso un voto multi-firma. Il contratto Aptos del protocollo è stato quindi aggiornato, mettendo in sicurezza il ponte. Questo processo ha richiesto circa tre ore.
Per saperne di più: Progetti di truffe crittografiche: come individuare i token falsi
Oltre a rimuovere la parola chiave “entry” dalla funzione publish_event, la nuova patch ha anche limitato i “limiti di velocità del governatore” su Aptos da $ 5 milioni a $ 1 milione. Questa mossa strategica mirava a limitare le potenziali perdite derivanti da exploit futuri. CertiK ha notato che l’utilizzo attuale è inferiore a $ 1 milione al giorno, quindi il limite di velocità non dovrebbe interessare la maggior parte degli utenti.
“Questo caso di studio non solo sottolinea il ruolo fondamentale delle pratiche di sicurezza proattive, ma celebra anche il potere del software open source nell’innalzare gli standard di sicurezza e trasparenza in tutto il mondo Web3”, ha aggiunto CertiK.
Wormhole ha anche condotto un’analisi retrospettiva per verificare se il problema riguardasse i fondi degli utenti. Lo studio ha confermato che nessun fondo è stato trasferito illecitamente e che i saldi degli utenti sono rimasti al sicuro.
Questa non è la prima volta che Wormhole affronta sfide di sicurezza. Nel 2022, il bridge ha perso oltre 321 milioni di dollari a causa di un bug nella parte Solana del bridge, consentendo a un utente malintenzionato di coniare token non garantiti. Nonostante questa battuta d’arresto, Wormhole ha migliorato le sue pratiche di sicurezza e ha recuperato 1 miliardo di dollari di valore totale bloccato.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
