CertiK обнаружила брешь в системе безопасности в Wormhole в сети Aptos

Согласно сообщению в социальной сети платформы безопасности блокчейна CertiK, если бы проблема безопасности в Wormhole в сети Aptos не была обнаружена, она могла бы привести к убыткам на сумму 5 млн долларов. Платформа заявила, что обнаружила ошибку и сообщила о ней команде Wormhole. Ошибка исправлена, и мост больше не уязвим.

Отчет CertiK был размещен в виде видео. В нем утверждалось, что ошибка «возникла из-за неправильной реализации модификаторов public(friend)» и «entry» в языке программирования MOVE. Модификатор public(friend) позволяет вызывать функцию другими функциями в том же модуле или внешними учетными записями, указанными в «списке друзей», но не другими вызывающими объектами. С другой стороны, модификатор «entry» указывает, что функция может быть вызвана из любой внешней учетной записи.

Из-за этой ошибки злоумышленник мог создать фальшивые транзакции, которые перемещали бы токены с одной учетной записи на другую, хотя на самом деле токены не перемещались. Эти «события» могли привести к тому, что версия моста для Ethereum начала чеканить или разблокировать токены без каких-либо реальных депозитов, поддерживающих их на стороне Aptos. В результате злоумышленник мог слить с моста средства на сумму до 5 млн долларов, заявили в CertiK.

Изображение: Pintu