A CertiK, uma plataforma de segurança blockchain, identificou e relatou uma falha crítica no Wormhole bridge na rede Aptos, que poderia ter resultado em perdas estimadas em US$ 5 milhões.
🚨 CertiK's security research team detected a critical bug in @wormhole, a leading open source bridge for multichain applications.
Discover how an incorrect application of the public(friend) and entry modifiers exposed the blockchain to potential multimillion-dollar exploits by… pic.twitter.com/fOKgT6RaTC
— CertiK (@CertiK) May 13, 2024
A falha foi descoberta a tempo, antes que qualquer ataque pudesse ser efetuado, graças à vigilância da equipe de segurança. A vulnerabilidade encontrada permitiria que um invasor manipulasse transações falsas, criando a impressão de transferências de tokens que não ocorreram de fato.
Esse tipo de brecha é especialmente preocupante em ambientes de blockchain, onde a confiança e a integridade dos dados são fundamentais.
Características técnicas da falha
A falha específica residia na implementação incorreta dos modificadores ‘public(friend)’ e ‘entry’ na linguagem de programação MOVE, utilizada pela rede Aptos. Isso tornou possível para qualquer conta chamar a função ‘publish_event’, que deveria ser restrita apenas a certas entidades externas especificadas.
Compre seu Ingresso Agora
Essa abertura indevida poderia levar ao acionamento de eventos falsos na blockchain, como a transferência de tokens, que, por sua vez, induziria a ponte Ethereum a liberar tokens sem que houvesse depósitos reais correspondentes no lado de Aptos.
Como resultado, o invasor poderia ter drenado até US$ 5 milhões em fundos da ponte, afirmou CertiK.
Implicações e medidas corretivas
Após a detecção, a equipe Wormhole agiu rapidamente para desenvolver e implementar um patch de segurança que corrigiu a vulnerabilidade, processo que levou cerca de três horas.
Além disso, uma análise retrospectiva confirmou que nenhum fundo dos usuários foi afetado pela falha. Para prevenir incidentes futuros, a taxa máxima de retirada da rede Aptos foi limitada a US$ 1 milhão por dia.
Essa medida visa diminuir o impacto potencial de explorações semelhantes, garantindo que as perdas sejam mantidas em um mínimo, caso outra vulnerabilidade seja explorada antes de ser detectada.