CertiK обнаруживает дефект безопасности стоимостью 5 миллионов долларов в мосте «Червоточина» на Аптосе

Блокчейн-платформа CertiK недавно обнаружила существенный недостаток в системе безопасности моста Wormhole в сети Aptos, что позволило сэкономить миллионы долларов на потенциальных убытках. Дефект, который уже был исправлен, мог позволить злоумышленникам создавать поддельные переводы токенов, что приводило к мошенническим действиям. Благодаря своевременному обнаружению и сообщению CertiK, уязвимость была устранена до того, как злоумышленники смогли ею воспользоваться.

Дефект и его последствия

Дефект безопасности в мосте Wormhole на Aptos мог привести к потерям до 5 миллионов долларов. В отчете CertiK подчеркивается, что дефект был вызван неправильной реализацией модификаторов ‘public(friend)’ и ‘entry’ в языке программирования MOVE, который использовался в Aptos. Модификатор ‘public(friend)’ позволял вызывать определенные функции внутри модуля или внешние учетные записи, указанные в «списке друзей», в то время как модификатор ‘entry’ позволял вызывать функцию любой внешней учетной записи.
В мосте существовала функция ‘publish_event’, которая отвечала за оповещение о таких событиях, как передача токенов. В идеале эта функция должна была вызываться только разрешенными функциями внутри того же модуля или указанными внешними сущностями. Однако в версии моста, исследованной CertiK, функция ‘publish_event’ имела модификаторы ‘public(friend)’ и ‘entry’, что позволяло любому человеку, независимо от одобрения, вызывать эту функцию.
Этот недостаток открывал потенциальным злоумышленникам возможность создавать фальшивые транзакции, которые, казалось бы, перемещали токены между аккаунтами, хотя на самом деле токены не передавались. Такие мошеннические «события» могли заставить Ethereum-версию моста майнить или разблокировать токены без наличия реальных депозитов на стороне Aptos. В результате злоумышленник мог вывести из моста средства на сумму до 5 миллионов долларов.

Обнаружение и реакция CertiK

CertiK незамедлительно уведомила команду Wormhole об обнаруженном дефекте безопасности 5 декабря 2023 года. После изучения сообщения команда разработала и протестировала патч для устранения уязвимости. Патч был одобрен Хранителями протокола, которые затем внедрили его, обновив контракт Aptos новым кодом. Весь процесс устранения дефекта занял около трех часов, благодаря чему мост больше не был подвержен эксплойту.
Помимо удаления ключевого слова ‘entry’ из функции ‘publish_event’, патч также ввел ограничение на величину «лимита ставки губернатора» на Aptos. Лимит ставки был снижен с $5 млн до $1 млн, фактически предотвращая снятие с Aptos более $1 млн в день. Эта мера была принята для того, чтобы минимизировать возможные потери в случае будущих эксплойтов. По данным CertiK, текущий объем использования Aptos остается ниже $1 млн в день, что указывает на то, что корректировка лимита ставок не должна существенно повлиять на большинство пользователей.

Средства пользователей и практика безопасности Wormhole

После обнаружения недостатка в системе безопасности компания Wormhole провела ретроспективный анализ, чтобы определить, были ли затронуты средства пользователей. Анализ показал, что никакие средства не были незаконно переведены, а балансы пользователей остались в безопасности.
Уязвимости в системе безопасности Wormhole не были безупречными. В 2022 году платформа понесла убытки в размере более 321 миллиона долларов из-за ошибки в части моста Solana, которая позволяла злоумышленникам майнить токены без обеспечения. Однако команда быстро исправила ошибку и выплатила компенсацию пострадавшим пользователям. С тех пор Wormhole приложила усилия для улучшения своих методов обеспечения безопасности, что привело к постепенному восстановлению доверия пользователей. В январе платформа успешно вернула заблокированную стоимость в размере 1 миллиарда долларов, продемонстрировав, что пользователи все больше доверяют ее улучшенным мерам безопасности.

Заключение

Обнаружение компанией CertiK бреши в системе безопасности моста Wormhole на Aptos стоимостью 5 млн долларов США подчеркнуло важность тщательного аудита безопасности в блокчейн-индустрии. Своевременное обнаружение и последующее исправление уязвимости позволило предотвратить потенциальные убытки и защитить средства пользователей. Оперативная реакция Wormhole и внедрение патча безопасности демонстрируют ее стремление поддерживать безопасную экосистему для своих пользователей. По мере развития индустрии блокчейна постоянная бдительность и проактивные меры безопасности будут иметь решающее значение для обеспечения целостности децентрализованных сетей и защиты активов пользователей.