- 05.10.2024.
ODRICANJE OD ODGOVORNOSTI: Kompletan sadržaj je isključivo edukativno-informativnog karaktera. Ništa nije savjet. Ulaganje u kriptovalute je rizično i ulazite na vašu vlastitu odgovornost nakon vašeg vlastitog istraživanja.
Dogodio se propust - Moguća šteta preko 5 milijardi dolara?
Sigurnosna greška u mostu Wormhole na mreži Aptos mogla je rezultirati gubitkom vrijednosti od 5 milijuna dolara da nije otkrivena, prema objavi na društvenim mrežama blockchain sigurnosne platforme CertiK. Platforma tvrdi da je otkrila grešku i prijavila je timu Wormhole prije nego što bi mogla biti iskorištena. Greška je ispravljena, a most više nije ranjiv.
Aptos je blockchain mreža koja koristi MOVE programski jezik, koji je izvorno razvijen od strane Facebooka za projekt Libra. Pristaše MOVE-a tvrde da je sigurniji jezik za pisanje pametnih ugovora u usporedbi s Ethereumovim Solidityem ili drugim alternativama.
Izvještaj CertiK-a objavljen je u obliku videozapisa. Tvrdio je da je greška "nastala zbog neispravne implementacije modifikatora 'public(friend)' i 'entry' u MOVE programskom jeziku." Modifikator 'public(friend)' omogućuje pozivanje funkcije od strane drugih funkcija unutar istog modula ili od strane vanjskih računa navedenih na "listi prijatelja", ali ne i od strane drugih pozivatelja. S druge strane, modifikator 'entry' određuje da funkciju može pozvati bilo koji vanjski račun.
Napadač mogao uzeti 5 milijuna dolara
Most je sadržavao funkciju nazvanu 'publish_event,' koja se koristila za objavljivanje događaja poput transfera tokena. Trebala je biti pozivana samo od strane drugih funkcija unutar istog modula ili određenih "navedenih vanjskih entiteta". Međutim, u verziji mosta koju je CertiK proučavao, funkcija je bila modificirana s oba modifikatora 'public(friend)' i 'entry'. To je omogućilo bilo kome da pozove 'publish_event,' čak i ako nisu odobreni pozivači. Zbog ove greške, napadač bi mogao stvoriti lažne transakcije koje bi izgledale kao da premještaju tokene s jednog računa na drugi, iako stvarni tokeni ne bi bili premješteni. Ti "događaji" mogli su uzrokovati da Ethereum verzija mosta izdaje nove tokene ili otključava postojeće, iako nije bilo stvarnih pologa koji ih podupiru na Aptos strani. Kao rezultat, napadač bi mogao isprazniti do 5 milijuna dolara vrijednih sredstava s mosta, navodi CertiK.
CertiK je obavijestio članove tima Wormhole-a o grešci 5. prosinca 2023. Nakon što su istražili izvještaj, tim je razvio i testirao zakrpu kako bi zatvorio sigurnosnu rupu i obavijestio čuvare protokola o problemu. Putem multisignature glasovanja, čuvari su odobrili implementaciju zakrpe, a ugovor Aptos protokola nadograđen je kako bi implementirao novi kôd. Nakon što je greška prijavljena, proces njezinog rješavanja trajao je otprilike tri sata, a nova verzija mosta više nije ranjiva na ovu eksploataciju.
Osim što je uklonio ključnu riječ 'entry' iz funkcije publish_event, nova zakrpa također je ograničila vrijednost "guvernerskih ograničenja stope" na Aptosu s 5 milijuna na 1 milijun dolara, čime je efektivno spriječeno povlačenje s Aptosa veće od 1 milijun dolara dnevno. To je učinjeno kako bi se ograničile gubitke u slučaju buduće eksploatacije. Trenutna upotreba je ispod 1 milijun dolara dnevno, tvrdi CertiK, sugerirajući da ograničenje stope ne bi trebalo utjecati na većinu korisnika.
Wormhole je također proveo "retrospektivnu analizu"
Wormhole je također proveo "retrospektivnu analizu" kako bi utvrdio jesu li bilo kakva sredstva korisnika bila pogođena ovim problemom. Zaključili su da nisu pronađeni nezakoniti prijenosi sredstava i da su računi korisnika sigurni. Wormhole nije uvijek uspijevao otkriti sigurnosne greške prije nego što budu iskorištene. 2022. izgubio je više od 321 milijun dolara kada je greška u Solana dijelu mosta omogućila napadaču da stvori tokene bez pokrića. Međutim, tim je kasnije zakrpio grešku i nadoknadio korisnike. U siječnju je Wormhole vratio jednu milijardu dolara ukupne vrijednosti zaključane prvi put od incidenta, što pokazuje da neki korisnici smatraju da su se sigurnosne prakse poboljšale.
