A CertiK descobriu e resolveu uma grande falha de segurança na ponte Wormhole na rede Aptos, economizando potencialmente US$ 5 milhões.
Essa vulnerabilidade poderia ter permitido que um invasor criasse transferências de tokens falsos, mas a ação rápida do CertiK protegeu os fundos dos usuários.
Falha de segurança de US$ 5 milhões descoberta na ponte Aptos Wormhole
CertiK identificou a falha na ponte Wormhole em Aptos e relatou à equipe Wormhole. O problema resultou da implementação incorreta dos modificadores “public(friend)” e “entry” da linguagem de programação MOVE.
O modificador 'public(friend)' permite que funções sejam chamadas por outras pessoas dentro do mesmo módulo ou por contas externas especificadas. Por outro lado, o modificador 'entrada' permite que qualquer conta externa chame uma função.
A ponte tinha uma função chamada “publish_event”, destinada a anunciar eventos como transferências de tokens. Esta função deveria poder ser chamada apenas de outras funções dentro do mesmo módulo ou de certas entidades externas especificadas. Porém, a função foi alterada tanto de "public(friend)" quanto de "entry", permitindo que qualquer pessoa chame "publish_event", mesmo que não tenha sido aprovado.
Essa falha poderia ter permitido que um invasor criasse transações falsas , aparentemente movendo tokens de uma conta para outra sem mover os tokens reais. Esses eventos falsos podem ter feito com que a versão Ethereum da ponte cunhasse ou desbloqueasse tokens sem respaldar depósitos reais da Aptos, drenando potencialmente até US$ 5 milhões.
Ação rápida do CertiK para reparar e proteger a ponte do buraco de minhoca
Depois de descobrir a falha, a CertiK notificou imediatamente a equipe do Wormhole em 5 de dezembro de 2023. A equipe desenvolveu e testou um patch para corrigir a falha de segurança. Eles informaram os Guardiões do Protocolo, que aprovaram o patch por meio de votação com múltiplas assinaturas. O contrato Aptos do protocolo foi então atualizado, tornando a ponte segura. Esse processo durou cerca de três horas.
Leia mais: Projetos de criptografia fraudulenta: como detectar tokens falsos
Além de remover a palavra-chave “entrada” da função subscribe_event, o novo patch também limitou os “limites de taxa do governador” no Aptos de US$ 5 milhões para US$ 1 milhão. Este movimento estratégico teve como objetivo limitar perdas potenciais de explorações futuras. CertiK observou que o uso atual é inferior a US$ 1 milhão por dia, portanto o limite de velocidade não deve afetar a maioria dos usuários.
“Este estudo de caso não apenas destaca o papel crítico das práticas de segurança proativas, mas também celebra o poder do software de código aberto em elevar os padrões de segurança e transparência no mundo Web3”, acrescentou CertiK.
A Wormhole também conduziu uma análise retrospectiva para ver se o problema afetou os fundos dos usuários. O estudo confirmou que nenhum dinheiro foi transferido ilicitamente e que os saldos dos usuários permaneceram seguros.
Esta não é a primeira vez que o Wormhole enfrenta desafios de segurança . Em 2022, a ponte perdeu mais de US$ 321 milhões devido a um bug na parte Solana da ponte, que permitiu a um invasor cunhar tokens sem apoio. Apesar desse revés, a Wormhole melhorou suas práticas de segurança e recuperou US$ 1 bilhão em valor total bloqueado.
O artigo Falha crítica de segurança de US$ 5 milhões no Aptos Wormhole Bridge – Certik foi visto pela primeira vez em BeInCrypto .