Согласно недавнему сообщению в социальных сетях от CertiK, платформы безопасности блокчейна, критическая уязвимость безопасности была обнаружена в мосту Wormhole в сети Aptos. CertiK заявила, что если этот недостаток не будет обнаружен, он может привести к убыткам в размере 5 миллионов долларов.
Подробнее: Может ли токен GME достичь нового исторического максимума?
К счастью, CertiK обнаружил ошибку и быстро сообщил о ней команде Wormhole до того, как произошла какая-либо эксплуатация. После этого обнаружения уязвимость была успешно исправлена, гарантируя, что мост Wormhole больше не подвержен эксплойтам.
Aptos — это блокчейн-сеть, известная использованием языка программирования MOVE, первоначально разработанного Facebook для проекта Libra. Сторонники MOVE утверждают, что он предлагает превосходные функции безопасности для написания смарт-контрактов по сравнению с Solidity от Ethereum и другими альтернативами. Этот уникальный атрибут делает Aptos многообещающей платформой для разработчиков, стремящихся повысить безопасность и надежность в своих блокчейн-проектах.
Читайте также: Roaring Kitty (ROAR): недавний всплеск вызвал дебаты - это следующий Dogecoin?
Что пошло не так с безопасностью моста через червоточину
В отчете CertiK, опубликованном в виде видео, подробно описано, что уязвимость безопасности возникла из-за неправильной реализации модификаторов 'public(friend)' и 'entry' в языке программирования MOVE. Модификатор 'public(friend)' позволяет вызывать функцию другими функциями в том же модуле или внешними учетными записями, указанными в "списке друзей", при этом ограничивая других вызывающих. В отличие от этого, модификатор 'entry' разрешает любой внешней учетной записи вызывать функцию.
Хронология эксплойтов Aptos | Источник: CertiK
Мост «Червоточина» включал в себя «publish_event», предназначенный для объявления о таких событиях, как передача токенов. Предполагалось, что эта функция может быть вызвана только другими функциями в том же модуле или определенными внешними сущностями. Однако в версии bridge, рассмотренной CertiK, функция 'publish_event' была неправильно изменена модификаторами 'public(friend)' и 'entry'. Эта ошибка позволяла любой внешней учетной записи вызывать 'publish_event', независимо от одобрения.
Читайте также: Интеграция Web3 и искусственного интеллекта и слияние токенов на $7,5 млрд в криптоальянсах ИИ
Эта уязвимость позволяла злоумышленникам создавать мошеннические транзакции, которые переводили токены между учетными записями без фактического перемещения токенов. Такие ложные «события» могли привести к тому, что Ethereum-версия моста будет чеканить или разблокировать токены без реальных депозитов на стороне Aptos. Следовательно, злоумышленник потенциально мог похитить до 5 миллионов долларов с моста, как подчеркивает CertiK.
Быстрая реакция команды Wormhole защищает платформу от новых эксплойтов
5 декабря 2023 года компания CertiK проинформировала команду Wormhole об обнаруженном недостатке. Получив отчет, команда Wormhole изучила проблему, а также разработала и протестировала патч, закрывающий лазейку в безопасности. Затем они сообщили о проблеме Стражам протокола. Стражи одобрили патч путем голосования с несколькими подписями, что привело к обновлению контракта протокола Aptos с новым кодом. Исправление уязвимости заняло около трех часов после того, как о ней было сообщено, гарантируя, что новая версия моста больше не уязвима для этого эксплойта.
Патч удалил ключевое слово 'entry' из функции publish_event. Он ограничил значение «лимитов губернаторской ставки» на Aptos с 5 миллионов долларов до 1 миллиона долларов, тем самым предотвратив снятие более 1 миллиона долларов в день. CertiK заявляет, что текущее использование составляет менее 1 миллиона долларов в день, поэтому это новое ограничение скорости не должно повлиять на большинство пользователей. Кроме того, Wormhole провела ретроспективный анализ, чтобы убедиться, что средства пользователей не были скомпрометированы, подтвердив, что все балансы остаются в безопасности.
Несмотря на это успешное вмешательство, Wormhole в прошлом сталкивалась с проблемами безопасности. В 2022 году ошибка в части моста Solana привела к потере более 321 миллиона долларов, когда злоумышленник отчеканил необеспеченные токены. Тем не менее, команда Wormhole исправила ошибку и выплатила компенсацию пострадавшим пользователям. В январе Wormhole впервые после инцидента вернул себе заблокированную общую стоимость в размере 1 миллиарда долларов, что свидетельствует об улучшении методов обеспечения безопасности и восстановлении доверия пользователей.
Подробнее: Поднимется ли токен AMC так же высоко, как акции?
Как это повлияет на цену
Быстрое устранение критической брешь в безопасности моста Wormhole в сети Aptos, вероятно, положительно повлияет на цену соответствующих активов. Своевременное обнаружение CertiK и быстрая реакция Wormhole, устранившая проблему в течение трех часов, демонстрируют твердую приверженность безопасности, повышая доверие инвесторов.
Новый патч удалил ошибочное ключевое слово «вход» и ограничил ежедневный вывод средств до 1 миллиона долларов, что еще больше повысило безопасность, не нарушая обычных операций. Кроме того, ретроспективный анализ Wormhole подтвердил, что средства пользователей не были скомпрометированы, что укрепило доверие к платформе.
Подробнее: Цена Solana застопорилась после кратковременного всплеска, мем-монеты снова в центре внимания
Несмотря на прошлые проблемы безопасности Wormhole, такие как взлом моста Solana в 2022 году, их эффективное решение недавних проблем и восстановление доверия пользователей предполагают улучшение методов обеспечения безопасности. В целом, эти действия, вероятно, успокоят инвесторов и привлекут больше участников, положительно повлияв на цену активов в экосистеме Aptos.
Смотрите также: Цены на криптовалюты и рыночная капитализация
Веб-сайт: https://www.bitrue.com/
Зарегистрироваться: https://www.bitrue.com/user/register
Дисклеймер: Высказанные мнения принадлежат исключительно автору и не отражают точку зрения этой платформы. Эта платформа и ее аффилированные лица не несут никакой ответственности за точность или пригодность предоставленной информации. Она предназначена только для информационных целей и не предназначена для использования в качестве финансовых или инвестиционных рекомендаций.