Volgens een recent bericht op sociale media van CertiK, een blockchain-beveiligingsplatform, is er een kritiek beveiligingslek geïdentificeerd in de Wormhole-brug op het Aptos-netwerk. CertiK verklaarde dat als deze fout onopgemerkt blijft, dit kan leiden tot verliezen van $ 5 miljoen.
Lees verder: Kan het GME-token een nieuwe all-time high bereiken?
Gelukkig ontdekte CertiK de bug en meldde deze onmiddellijk aan het Wormhole-team voordat er enige uitbuiting kon plaatsvinden. Na deze ontdekking is de kwetsbaarheid met succes gepatcht, zodat de Wormhole-brug niet langer vatbaar is voor misbruik.
Aptos is een blockchain-netwerk dat bekend staat om het gebruik van de programmeertaal MOVE, oorspronkelijk ontwikkeld door Facebook voor het Libra-project. Voorstanders van MOVE beweren dat het superieure veiligheidsfuncties biedt voor het schrijven van slimme contracten in vergelijking met Ethereum's Solidity en andere alternatieven. Dit unieke kenmerk positioneert Aptos als een veelbelovend platform voor ontwikkelaars die op zoek zijn naar verbeterde beveiliging en betrouwbaarheid in hun blockchain-projecten.
Lees verder: Roaring Kitty (ROAR): een recente stijging leidt tot debat - is dit de volgende Dogecoin?
Wat ging er mis met de beveiliging van de Wormhole Bridge?
Het rapport van CertiK, gedeeld via een video, gaf aan dat de beveiligingsfout voortkwam uit een onjuiste implementatie van de modifiers 'public(friend)' en 'entry' in de programmeertaal MOVE. Met de modifier 'public(friend)' kan een functie worden aangeroepen door andere functies binnen dezelfde module of door externe accounts die zijn gespecificeerd op een "vriendenlijst", terwijl andere bellers worden beperkt. Met de modifier 'entry' daarentegen kan elk extern account de functie aanroepen.
Wormgat Aptos exploiteren tijdlijn | Bron: CertiK
De Wormhole-brug bevatte 'publish_event', ontworpen om evenementen zoals tokenoverdrachten aan te kondigen. Deze functie was bedoeld om alleen te kunnen worden aangeroepen door andere functies binnen dezelfde module of door specifieke externe entiteiten. In de door CertiK onderzochte bridgeversie werd de functie 'publish_event' echter ten onrechte aangepast met zowel 'public(friend)' als 'entry' modifiers. Door deze fout kon elk extern account 'publish_event' aanroepen, ongeacht de goedkeuring.
Lees meer: Web3 & AI-integratie en tokenfusie van $ 7,5 miljard in Crypto AI-allianties
Door deze fout konden aanvallers frauduleuze transacties uitvoeren die tokens tussen accounts overdroegen zonder daadwerkelijke tokenbeweging. Dergelijke valse "gebeurtenissen" hadden ertoe kunnen leiden dat de Ethereum-versie van de brug tokens heeft geslagen of ontgrendeld zonder echte stortingen aan de Aptos-kant. Bijgevolg had een aanvaller mogelijk tot $ 5 miljoen van de brug kunnen aftappen, zoals benadrukt door CertiK.
Snelle reactie van Wormhole-team beveiligt platform tegen nieuwe exploit
Op 5 december 2023 informeerde CertiK het Wormhole-team over de ontdekte fout. Na ontvangst van het rapport heeft het Wormhole-team het probleem onderzocht en een patch ontwikkeld en getest om het beveiligingslek te dichten. Vervolgens informeerden ze de bewakers van het protocol over het probleem. De Guardians keurden de patch goed door middel van een stemming met meerdere handtekeningen, wat leidde tot het upgraden van het Aptos-contract van het protocol met de nieuwe code. Het verhelpen van de fout duurde ongeveer drie uur nadat deze was gemeld, zodat de nieuwe bridge-versie niet langer kwetsbaar is voor deze exploit.
De patch verwijderde het trefwoord 'entry' uit de publish_event-functie. Het beperkte de waarde van de "governor rate limits" op Aptos van $ 5 miljoen naar $ 1 miljoen, waardoor opnames van meer dan $ 1 miljoen per dag werden voorkomen. CertiK zegt dat het huidige gebruik minder dan $ 1 miljoen per dag is, dus deze nieuwe snelheidslimiet zou geen invloed moeten hebben op de meeste gebruikers. Bovendien voerde Wormhole een retrospectieve analyse uit om er zeker van te zijn dat er geen gebruikersfondsen werden gecompromitteerd, wat bevestigde dat alle saldi veilig bleven.
Ondanks deze succesvolle interventie heeft Wormhole in het verleden te maken gehad met beveiligingsuitdagingen. In 2022 leidde een bug in het Solana-gedeelte van de brug tot het verlies van meer dan $321 miljoen toen een aanvaller ongedekte tokens sloeg. Het Wormhole-team heeft de bug echter gepatcht en de getroffen gebruikers gecompenseerd. In januari eiste Wormhole voor het eerst sinds het incident $ 1 miljard aan totale waarde terug, wat wijst op verbeterde beveiligingspraktijken en hersteld gebruikersvertrouwen.
Lees verder: Zal het AMC-token net zo hoog gaan als de aandelen?
Hoe dit de prijs zal beïnvloeden
De snelle oplossing van een kritieke beveiligingsfout in de Wormhole-brug op het Aptos-netwerk zal waarschijnlijk een positieve invloed hebben op de prijs van gerelateerde activa. De tijdige ontdekking van CertiK en de snelle reactie van Wormhole, die het probleem binnen drie uur oplost, tonen een sterke toewijding aan beveiliging, waardoor het vertrouwen van investeerders toeneemt.
De nieuwe patch verwijderde het gebrekkige trefwoord 'entry' en beperkte de dagelijkse opnames tot $ 1 miljoen, waardoor de beveiliging verder werd verbeterd zonder de reguliere activiteiten te verstoren. Bovendien bevestigde de retrospectieve analyse van Wormhole dat er geen gebruikersfondsen waren gecompromitteerd, waardoor het vertrouwen in het platform werd versterkt.
Lees verder: Solana-prijs stagneert na korte stijging, meme-munten weer in de schijnwerpers
Ondanks de beveiligingsuitdagingen van Wormhole in het verleden, zoals de inbreuk in 2022 op de Solana-brug, suggereren hun effectieve afhandeling van recente problemen en het herwonnen vertrouwen van gebruikers verbeterde beveiligingspraktijken. Over het algemeen zullen deze acties beleggers waarschijnlijk geruststellen en meer deelname aantrekken, wat een positieve invloed heeft op de prijs van activa binnen het Aptos-ecosysteem.
Bekijk meer: Cryptocurrency-prijzen en marktkapitalisatie
Website: https://www.bitrue.com/
Aanmelden: https://www.bitrue.com/user/register
Disclaimer: De geuite meningen behoren uitsluitend toe aan de auteur en weerspiegelen niet de standpunten van dit platform. Dit platform en zijn gelieerde ondernemingen wijzen elke verantwoordelijkheid af voor de juistheid of geschiktheid van de verstrekte informatie. Het is alleen voor informatieve doeleinden en niet bedoeld als financieel of beleggingsadvies.