CertiKは14日、AptosネットワークのWormholeブリッジに重大なセキュリティ欠陥を発見し、パッチを適用した。
この脆弱性は、攻撃者が偽のトークン送金を作成する可能性がありましたが、CertiKの迅速な対応により、ユーザーの資金が確保されました。
Aptosのワームホールブリッジに500万ドルのセキュリティ欠陥が発見される
CertiKはAptosのWormholeブリッジの欠陥を発見し、Wormholeチームに報告しました。この問題は、MOVEプログラミング言語の「public(friend)」と「entry」修飾子が誤って実装されていたことに起因する。
public(friend)」修飾子は、同じモジュール内の他者や指定した外部アカウントから関数を呼び出すことを許可する。対照的に、’entry’修飾子は、任意の外部アカウントが関数を呼び出すことを許可する。
ブリッジには’publish_event’という関数があり、トークン転送のようなイベントを告知するためのものだった。この関数は、同じモジュール内の他の関数か、特定の外部エンティティによってのみ呼び出されるはずだった。しかし、この関数は「public(friend)」と「entry」の両方によって変更されていたため、承認されていなくても誰でも「publish_event」を呼び出すことが可能だった。
この欠陥により、攻撃者は偽のトランザクションを作成し、実際のトークンを移動させることなく、あるアカウントから別のアカウントにトークンを移動させたように見せかけることができた。このような偽のイベントにより、イーサリアム版のブリッジは、Aptos側で実際の入金の裏付けがないままトークンのミントやロック解除を行い、最大500万ドルを流出させる可能性があった。
ワームホールブリッジのパッチ適用とセキュリティ確保のための迅速な対応
欠陥を発見した後、CertiKは2023年12月5日に直ちにWormholeチームに通知した。チームはセキュリティの抜け穴を塞ぐパッチを開発し、テストした。彼らはプロトコルのガーディアンに報告し、ガーディアンは複数署名による投票でパッチを承認した。その後、プロトコルのアプトス契約がアップグレードされ、ブリッジが保護された。このプロセスには約3時間かかった。
publish_event関数から’entry’キーワードを削除したほか、新しいパッチはAptosの’ガバナーレート制限’を500万ドルから100万ドルに制限した。この戦略的な動きは、将来の悪用による潜在的な損失を制限することを目的としている。CertiKは、現在の使用量は毎日100万ドル以下であるため、レート制限はほとんどのユーザーに影響を与えないはずであると指摘した。
「このケーススタディは、積極的なセキュリティ対策の重要な役割を強調するだけでなく、Web3の世界全体のセキュリティと透明性の基準を引き上げるオープンソースソフトウェアの力を称えるもの」とCertiKは付け加えた。
Wormholeはまた、この問題がユーザーの資金に影響を及ぼしたかどうかを確認するため、後方視的分析も実施した。調査の結果、不正に送金された資金はなく、ユーザーの残高は安全なままであることが確認された。
Wormholeがセキュリティ上の問題に直面したのは今回が初めてではない。2022年、ブリッジのソラナ部分にバグがあり、攻撃者が裏付けのないトークンをミントすることができたため、ブリッジは3億2100万ドル以上を失った。この挫折にもかかわらず、Wormholeはセキュリティ対策を改善し、ロックされた総額10億ドルを取り戻した。
Follow us on:
X(Twitter):@BeInCryptoJapan
Telegramチャンネル:@BeInCrypto Japan オフィシャルチャンネル
免責事項 - Disclaimers
当ウェブサイトに掲載されているすべての情報は、誠意をもって作成され、一般的な情報提供のみを目的としています。当ウェブサイトに掲載されている情報に基づいて行う一切の行為については、読者ご自身の責任において行っていただきますようお願いいたします。
