CertiK a découvert et résolu une faille de sécurité majeure dans le pont Wormhole sur le réseau Aptos, économisant potentiellement 5 millions de dollars.
Cette vulnérabilité aurait pu permettre à un attaquant de créer de faux transferts de jetons, mais l'action rapide de CertiK a protégé les fonds des utilisateurs.
Une faille de sécurité de 5 millions de dollars découverte dans Aptos Wormhole Bridge
CertiK a identifié la faille dans le pont Wormhole sur Aptos et l'a signalée à l'équipe Wormhole. Le problème provenait d'une implémentation incorrecte des modificateurs "public(friend)" et "entry" du langage de programmation MOVE.
Le modificateur 'public(friend)' permet aux fonctions d'être appelées par d'autres au sein du même module ou par des comptes externes spécifiés. En revanche, le modificateur 'entry' permet à n'importe quel compte externe d'appeler une fonction.
Le pont disposait d'une fonction appelée "publish_event", destinée à annoncer des événements tels que des transferts de jetons. Cette fonction aurait dû être appelable uniquement à partir d'autres fonctions au sein du même module ou à partir de certaines entités externes spécifiées. Cependant, la fonction a été modifiée à la fois de "public(friend)" et "entry", permettant à n'importe qui d'appeler "publish_event", même si elle n'a pas été approuvée.
Cette faille aurait pu permettre à un attaquant de créer de fausses transactions , déplaçant apparemment des jetons d'un compte à un autre sans déplacer les jetons réels. Ces faux événements auraient pu amener la version Ethereum du pont à créer ou à débloquer des jetons sans véritable dépôt de garantie d'Aptos, drainant potentiellement jusqu'à 5 millions de dollars.
Action rapide de CertiK pour réparer et protéger le pont de vortex
Après avoir découvert la faille, CertiK a immédiatement informé l'équipe Wormhole le 5 décembre 2023. L'équipe a développé et testé un correctif pour combler la faille de sécurité. Ils ont informé les Protocol Guardians, qui ont approuvé le patch par un vote multi-signatures. Le contrat Aptos du protocole a ensuite été mis à jour, sécurisant ainsi le pont. Ce processus a duré environ trois heures.
Lire la suite : Projets d'arnaque cryptographique : comment repérer les faux jetons
En plus de supprimer le mot-clé « entry » de la fonction submit_event, le nouveau correctif a également limité les « limites de taux du gouverneur » sur Aptos de 5 millions de dollars à 1 million de dollars. Cette décision stratégique visait à limiter les pertes potentielles liées aux futurs exploits. CertiK a noté que l'utilisation actuelle est inférieure à 1 million de dollars par jour, de sorte que la limite de vitesse ne devrait pas affecter la plupart des utilisateurs.
"Cette étude de cas met non seulement en évidence le rôle essentiel des pratiques de sécurité proactives, mais célèbre également la puissance des logiciels open source pour élever les normes de sécurité et de transparence dans le monde Web3", a ajouté CertiK.
Wormhole a également mené une analyse rétrospective pour voir si le problème affectait les fonds des utilisateurs. L'étude a confirmé qu'aucun fonds n'avait été transféré illégalement et que les soldes des utilisateurs restaient en sécurité.
Ce n'est pas la première fois que Wormhole est confronté à des problèmes de sécurité . En 2022, le pont a perdu plus de 321 millions de dollars en raison d'un bug dans la partie Solana du pont, qui permettait à un attaquant de frapper des jetons sans soutien. Malgré ce revers, Wormhole a amélioré ses pratiques de sécurité et récupéré 1 milliard de dollars en valeur totale verrouillée.
L'article Faille de sécurité critique de 5 millions de dollars dans Aptos Wormhole Bridge – Certik apparaît en premier sur BeInCrypto .