トラスティッド

アプトスのワームホールブリッジに500万ドルの重大なセキュリティ欠陥 – Certik

6分
投稿者 Shota Oba
編集 Shigeki Mori

概要

  • CertiKはAptosのWormholeブリッジに500万ドルのセキュリティ欠陥を発見し、パッチを当てた。
  • この欠陥により、誰でも「publish_event」関数を呼び出すことが可能になり、偽のトランザクションが可能になる可能性があった。
  • CertiKはワームホールチームに迅速に報告し、チームは3時間以内にパッチを開発、実装し、ブリッジを保護した。
  • promo

CertiKは14日、AptosネットワークのWormholeブリッジに重大なセキュリティ欠陥を発見し、パッチを適用した。

この脆弱性は、攻撃者が偽のトークン送金を作成する可能性がありましたが、CertiKの迅速な対応により、ユーザーの資金が確保されました。

Aptosのワームホールブリッジに500万ドルのセキュリティ欠陥が発見される

CertiKはAptosのWormholeブリッジの欠陥を発見し、Wormholeチームに報告しました。この問題は、MOVEプログラミング言語の「public(friend)」と「entry」修飾子が誤って実装されていたことに起因する。

public(friend)」修飾子は、同じモジュール内の他者や指定した外部アカウントから関数を呼び出すことを許可する。対照的に、’entry’修飾子は、任意の外部アカウントが関数を呼び出すことを許可する。

ブリッジには’publish_event’という関数があり、トークン転送のようなイベントを告知するためのものだった。この関数は、同じモジュール内の他の関数か、特定の外部エンティティによってのみ呼び出されるはずだった。しかし、この関数は「public(friend)」と「entry」の両方によって変更されていたため、承認されていなくても誰でも「publish_event」を呼び出すことが可能だった。

この欠陥により、攻撃者は偽のトランザクションを作成し、実際のトークンを移動させることなく、あるアカウントから別のアカウントにトークンを移動させたように見せかけることができた。このような偽のイベントにより、イーサリアム版のブリッジは、Aptos側で実際の入金の裏付けがないままトークンのミントやロック解除を行い、最大500万ドルを流出させる可能性があった。

ワームホールブリッジのパッチ適用とセキュリティ確保のための迅速な対応

欠陥を発見した後、CertiKは2023年12月5日に直ちにWormholeチームに通知した。チームはセキュリティの抜け穴を塞ぐパッチを開発し、テストした。彼らはプロトコルのガーディアンに報告し、ガーディアンは複数署名による投票でパッチを承認した。その後、プロトコルのアプトス契約がアップグレードされ、ブリッジが保護された。このプロセスには約3時間かかった。

関連記事:暗号資産詐欺プロジェクト:偽トークンを見破る方法

publish_event関数から’entry’キーワードを削除したほか、新しいパッチはAptosの’ガバナーレート制限’を500万ドルから100万ドルに制限した。この戦略的な動きは、将来の悪用による潜在的な損失を制限することを目的としている。CertiKは、現在の使用量は毎日100万ドル以下であるため、レート制限はほとんどのユーザーに影響を与えないはずであると指摘した。

「このケーススタディは、積極的なセキュリティ対策の重要な役割を強調するだけでなく、Web3の世界全体のセキュリティと透明性の基準を引き上げるオープンソースソフトウェアの力を称えるもの」とCertiKは付け加えた

Wormholeはまた、この問題がユーザーの資金に影響を及ぼしたかどうかを確認するため、後方視的分析も実施した。調査の結果、不正に送金された資金はなく、ユーザーの残高は安全なままであることが確認された。

Wormholeがセキュリティ上の問題に直面したのは今回が初めてではない。2022年、ブリッジのソラナ部分にバグがあり、攻撃者が裏付けのないトークンをミントすることができたため、ブリッジは3億2100万ドル以上を失った。この挫折にもかかわらず、Wormholeはセキュリティ対策を改善し、ロックされた総額10億ドルを取り戻した。

ベスト暗号資産取引所
Bitget Bitget 見る
Phemex Phemex 見る
Margex Margex 見る
Bybit Bybit 見る
Coinrule Coinrule 見る
ベスト暗号資産取引所
Bitget Bitget 見る
Phemex Phemex 見る
Margex Margex 見る
Bybit Bybit 見る
Coinrule Coinrule 見る

Follow us on:

X(Twitter):@BeInCryptoJapan
Telegramチャンネル:@BeInCrypto Japan オフィシャルチャンネル

免責事項 - Disclaimers

当ウェブサイトに掲載されているすべての情報は、誠意をもって作成され、一般的な情報提供のみを目的としています。当ウェブサイトに掲載されている情報に基づいて行う一切の行為については、読者ご自身の責任において行っていただきますようお願いいたします。

Shota-Oba.png
国際関係の大学在籍中に国内ブロックチェーンメディアでのインターンを経て、2つの海外暗号資産取引所にてインターントレーニング生として従事。現在は、ジャーナリストとしてテクニカル、ファンダメンタル分析を問わずに日本暗号資産市場を中心に分析を行う。暗号資産取引は2021年より行っており、経済・社会情勢にも興味を持つ。
筆者の紹介を全文表示
スポンサー
スポンサー