CertiK ontdekte en repareerde een groot beveiligingslek in de Wormhole bridge op het Aptos netwerk, waardoor mogelijk $5 miljoen bespaard kon worden.
Deze kwetsbaarheid had een aanvaller in staat kunnen stellen valse token transfers te creëren, maar de snelle actie van CertiK heeft de fondsen van gebruikers veiliggesteld.
Aptos’ Wormhole Bridge $5M beveiligingslek ontdekt
CertiK ontdekte het lek in de Wormhole bridge op Aptos en meldde het aan het Wormhole-team. Het probleem kwam voort uit een onjuiste implementatie van de MOVE programmeertaal’s ‘public(friend)’ en ‘entry’ modifiers.
Met de ‘public(friend)’ modifier kunnen functies worden aangeroepen door anderen binnen dezelfde module of door gespecificeerde externe accounts. Daarentegen staat de ‘entry’ modifier toe dat elke externe account een functie kan aanroepen.
De bridge had een functie genaamd ‘publish_event’, bedoeld om gebeurtenissen zoals tokenoverdrachten aan te kondigen. Deze functie zou alleen aangeroepen moeten kunnen worden door andere functies binnen dezelfde module of bepaalde gespecificeerde externe entiteiten. De functie was echter aangepast door zowel ‘public(friend)’ als ‘entry’, waardoor het voor iedereen mogelijk was om ‘publish_event’ aan te roepen, zelfs als ze niet goedgekeurd waren.
Door deze fout had een aanvaller valse transacties kunnen creëren, waarbij het leek alsof tokens van de ene account naar de andere werden verplaatst zonder dat er echte tokens werden verplaatst. Deze nepgebeurtenissen konden ervoor zorgen dat de Ethereum-versie van de bridge tokens kon slaan of ontgrendelen zonder echte stortingen aan de Aptos-kant, waardoor mogelijk tot 5 miljoen dollar verloren ging.
Snelle actie van CertiK om de Wormhole Bridge te patchen en te beveiligen
Na de ontdekking van het lek heeft CertiK het Wormhole-team op 5 december 2023 onmiddellijk op de hoogte gebracht. Het team ontwikkelde en testte een patch om het gat in de security te dichten. Ze informeerden de Guardians van het protocol, die de patch goedkeurden via een stemming met meerdere handtekeningen. Het Aptos contract van het protocol werd vervolgens geüpgraded, waardoor de brug beveiligd werd. Dit proces duurde ongeveer drie uur.
Lees meer: Crypto-oplichtingsprojecten: Hoe valse tokens te herkennen
Naast het verwijderen van het ‘entry’ sleutelwoord uit de publish_event functie, beperkte de nieuwe patch ook de ‘governor rate limits’ op Aptos van $5 miljoen naar $1 miljoen. Deze strategische zet was bedoeld om potentiële verliezen door toekomstige exploits te beperken. CertiK merkte op dat het huidige gebruik onder de $1 miljoen per dag ligt, dus de limiet zou geen invloed moeten hebben op de meeste gebruikers.
“Deze casestudy onderstreept niet alleen de kritieke rol van proactieve beveiligingspraktijken, maar viert ook de kracht van open source software bij het verhogen van de beveiligings- en transparantienormen in de hele Web3-wereld,” voegde CertiK eraan toe.
Wormhole voerde ook een retrospectieve analyse uit om te controleren of het probleem van invloed was op fondsen van gebruikers. Het onderzoek bevestigde dat er geen geld illegaal was overgemaakt en dat de tegoeden van gebruikers veilig waren.
Dit is niet de eerste keer dat Wormhole te maken heeft met uitdagingen op het gebied van security. In 2022 verloor de brug meer dan 321 miljoen dollar door een bug in het Solana-gedeelte van de brug, waardoor een aanvaller tokens zonder back-up kon slaan. Ondanks deze tegenslag heeft Wormhole zijn security praktijken verbeterd en $1 miljard aan total value locked teruggewonnen.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
