Công ty bảo mật CertiK đã phát hiện ra một lỗ hổng bảo mật trị giá $5M trong cầu nối Wormhole trên blockchain Aptos

Lỗ hổng trên cầu nối này có thể cho phép kẻ tấn công tạo ra các giao dịch chuyển token giả mạo, đánh cắp tiền từ người dùng. May mắn là lỗ hổng đã được vá trước khi bất kỳ kẻ xấu nào kịp lợi dụng.

Một lỗ hổng bảo mật trên cầu nối Wormhole trên mạng lưới Aptos có thể đã dẫn đến thiệt hại $5M nếu nó không được phát hiện. Theo bài đăng trên mạng xã hội từ nền tảng bảo mật blockchain CertiK, chính họ đã phát hiện ra lỗ hổng này và báo cáo cho nhóm Wormhole trước khi nó bị kẻ xấu lợi dụng. Lỗ hổng đã được vá và cầu nối hiện không còn bị lỗ hổng.

Aptos là một mạng lưới blockchain sử dụng ngôn ngữ lập trình MOVE, được phát triển ban đầu bởi Facebook cho dự án Libra. Những người ủng hộ MOVE cho rằng đây là ngôn ngữ an toàn hơn để viết các hợp đồng thông minh so với Solidity của Ethereum hoặc các lựa chọn thay thế khác.

Báo cáo của CertiK được đăng dưới dạng video. Báo cáo tuyên bố lỗ hổng phát sinh từ việc triển khai không chính xác các bộ sửa đổi public(friend) và entry trong ngôn ngữ lập trình MOVE. Bộ sửa đổi public(friend) cho phép một hàm được gọi bởi các hàm khác trong cùng một mô-đun hoặc bởi các tài khoản bên ngoài được chỉ định trong danh sách bạn bè, nhưng không cho phép các trình gọi khác thực hiện. Mặt khác, bộ sửa đổi entry chỉ định rằng một hàm có thể được gọi bởi bất kỳ tài khoản bên ngoài nào.

Cầu nối Wormhole chứa một hàm gọi là publish_event (phát hành sự kiện), được sử dụng để thông báo các sự kiện như chuyển token. Theo thiết kế, hàm này chỉ được phép gọi bởi các hàm khác trong cùng một mô-đun hoặc bởi một số thực thể bên ngoài được chỉ định nhất định. Tuy nhiên, trong phiên bản cầu nối mà CertiK nghiên cứu, hàm này lại bị sửa đổi bởi cả public(friend) và entry. Điều này khiến bất kỳ ai cũng có thể gọi publish_event, ngay cả khi họ không phải là người gọi được phê duyệt.

Lỗ hổng này cho phép kẻ tấn công tạo ra các giao dịch giả mạo, trông giống như việc chuyển token từ tài khoản này sang tài khoản khác, mặc dù thực tế không có token nào được di chuyển. Những sự kiện này có thể khiến phiên bản Ethereum của cầu nối tạo (mint) hoặc mở khóa token mà không có tiền gửi thực sự tương ứng trên Aptos. Kết quả là, kẻ tấn công có thể đánh cắp tới $5M tiền từ cầu nối, theo CertiK.

Vào ngày 5 tháng 12 năm 2023, CertiK đã thông báo cho nhóm Wormhole về lỗ hổng này. Sau khi điều tra báo cáo, nhóm đã phát triển và thử nghiệm một bản vá để vá lỗ hổng bảo mật và thông báo cho những Người giám hộ (Guardians) của giao thức về vấn đề này. Thông qua biểu quyết đa chữ ký, những Người giám hộ đã phê duyệt bản vá được triển khai và hợp đồng Aptos của giao thức được nâng cấp để thực thi mã mới. Tổng thời gian để vá lỗi hổng sau khi được báo cáo là khoảng ba giờ và phiên bản mới của cầu nối hiện không còn lỗ hổng này.

Nguồn: Kenhbit tổng hợp

Từ khóa :
Bài viết mới
Tin nổi bật