เมื่อวันที่ 27 สิงหาคม Asymmetric Research เปิดเผยว่าพบบั๊กร้ายแรงใน Noble-CCTP ของ Circle ซึ่งเป็นส่วนประกอบของโปรโตคอล USDC Cross-Chain Transfer บนเครือข่าย Cosmos
ตามที่บริษัทรักษาความปลอดภัย Web3 ระบุนั้น ผู้กระทำความผิดอาจหลีกเลี่ยงกระบวนการตรวจสอบในโปรโตคอล cross-chain transfer เพื่อสร้างโทเค็น USDC ปลอมบน Noble bridge ได้
โดยเฉพาะอย่างยิ่ง ตัวจัดการ “ReceiveMessage” ของ Noble-CCTP ยอมรับ “BurnMessages” จากผู้ส่งรายใดก็ได้โดยไม่ได้ตรวจสอบก่อนว่า bridging message นั้นถูกส่งมาจากที่อยู่ “TokenMessenger” ที่ได้รับการตรวจยืนยันบนเชนดั้งเดิมหรือไม่ โดยบริษัทด้านความปลอดภัยได้อธิบายช่องโหว่นี้ว่า:
“ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้และกระตุ้นให้เกิดการ mint USDC ที่เป็นอันตรายได้โดยการส่ง BurnMessage ปลอมโดยตรงผ่านสัญญา CCTP MessageTransmitter โดยใช้ที่อยู่โมดูล Noble-CCTP และ chain—ID ของ Noble เป็นปลายทาง CCTP”
Asymmetric Research อธิบายว่าในตอนแรก ปัญหาที่เกิดขึ้นดูเหมือนจะเป็น infinite mint glitch แต่ไม่น่าจะเกิดขึ้นได้เนื่องจาก Noble บังคับใช้ข้อจำกัดการ mint ที่ประมาณ 35 ล้าน USDC
บริษัทด้านความปลอดภัยของ Web3 สรุปโดยระบุว่า ไม่มีผู้ใช้รายใดสูญเสียเงิน และไม่มีผู้ไม่ประสงค์ดีรายใดสามารถใช้ช่องโหว่นี้และเปิดการโจมตีได้สำเร็จ และ ณ เวลาที่เขียนบทความนี้ Circle ได้แก้ไขข้อบกพร่องของซอฟต์แวร์นี้แล้ว
อ้างอิง : cointelegraph.com
ภาพ mudrex.com
