CertiK descubrió y resolvió una falla de seguridad importante en el puente Wormhole en la red Aptos, ahorrando potencialmente $5 millones.
Esta vulnerabilidad podría haber permitido a un atacante crear transferencias de tokens falsas, pero la rápida acción de CertiK protegió los fondos de los usuarios.
Fallo de seguridad de 5 millones de dólares descubierto en el puente Aptos Wormhole
CertiK identificó la falla en el puente Wormhole en Aptos y lo informó al equipo de Wormhole. El problema surgió de la implementación incorrecta de los modificadores "público (amigo)" y "entrada" del lenguaje de programación MOVE.
El modificador 'público (amigo)' permite que otras personas dentro del mismo módulo o cuentas externas específicas llamen a funciones. Por el contrario, el modificador 'entrada' permite que cualquier cuenta externa llame a una función.
El puente tenía una función llamada "publish_event", destinada a anunciar eventos como transferencias de tokens. Esta función debería haber sido invocable solo desde otras funciones dentro del mismo módulo o desde ciertas entidades externas especificadas. Sin embargo, la función se cambió de "público (amigo)" y "entrada", lo que permite que cualquiera llame a "publish_event", incluso si no fue aprobado.
Esta falla podría haber permitido a un atacante crear transacciones falsas , aparentemente moviendo tokens de una cuenta a otra sin mover los tokens reales. Estos eventos falsos podrían haber causado que la versión Ethereum del puente acuñe o desbloquee tokens sin depósitos de respaldo reales de Aptos, lo que podría consumir hasta $ 5 millones.
Rápida acción de CertiK para reparar y proteger el puente del agujero de gusano
Después de descubrir la falla, CertiK notificó inmediatamente al equipo de Wormhole el 5 de diciembre de 2023. El equipo desarrolló y probó un parche para solucionar la falla de seguridad. Informaron a los Guardianes del Protocolo, quienes aprobaron el parche mediante una votación de múltiples firmas. Luego se actualizó el contrato de Aptos del protocolo, haciendo que el puente fuera seguro. Este proceso duró unas tres horas.
Leer más: Proyectos de estafas criptográficas: cómo detectar tokens falsos
Además de eliminar la palabra clave "entry" de la función publicar_event, el nuevo parche también limitó los "límites de tarifas del gobernador" en Aptos de $5 millones a $1 millón. Este movimiento estratégico tenía como objetivo limitar las pérdidas potenciales de futuras explotaciones. CertiK señaló que el uso actual es de menos de $1 millón por día, por lo que el límite de velocidad no debería afectar a la mayoría de los usuarios.
"Este estudio de caso no sólo destaca el papel fundamental de las prácticas de seguridad proactivas, sino que también celebra el poder del software de código abierto para elevar los estándares de seguridad y transparencia en el mundo Web3", añadió CertiK.
Wormhole también realizó un análisis retrospectivo para ver si el problema afectaba a los fondos de los usuarios. El estudio confirmó que no se transfirieron fondos ilícitamente y que los saldos de los usuarios permanecieron seguros.
Esta no es la primera vez que Wormhole se enfrenta a desafíos de seguridad . En 2022, el puente perdió más de 321 millones de dólares debido a un error en la parte de Solana del puente, que permitió a un atacante acuñar tokens sin respaldo. A pesar de este revés, Wormhole mejoró sus prácticas de seguridad y recuperó mil millones de dólares en valor total bloqueado.
El post Fallo crítico de seguridad de 5 millones de dólares en el puente Aptos Wormhole – Certik apareció por primera vez en BeInCrypto .