ช่องโหว่ด้านความปลอดภัยใน Wormhole Bridge บนเครือข่าย Aptos อาจส่งผลให้เกิดการสูญเสียมูลค่า 5 ล้านดอลลาร์ หากไม่มีการค้นพบก่อน ตามที่รายงานบนโซเชียลมีเดียจากแพลตฟอร์มความปลอดภัยบล็อคเชน CertiK โดยแพลตฟอร์มดังกล่าวอ้างว่าได้ค้นพบช่องโหว่และได้รายงานไปยังทีม Wormhole ซึ่งช่องโหว่ได้รับการแก้ไขแล้ว และ Bridge ไม่มีช่องโหว่อีกต่อไป
Aptos เป็นเครือข่ายบล็อกเชนที่ใช้ภาษาโปรแกรม MOVE ซึ่งเดิมพัฒนาโดย Facebook สำหรับโครงการ Libra โดยมีการอ้างว่าการเขียน smart contracts ด้วย MOVE เป็นภาษาที่ปลอดภัยกว่าเมื่อเปรียบเทียบกับ Solidity ของ Ethereum หรือทางเลือกอื่น ๆ
รายงานของ CertiK ถูกโพสต์ในรูปแบบวิดีโอ โดยอ้างว่าช่องโหว่ “เกิดขึ้นจากการใช้งาน ‘public(friend)’ และ ‘entry’ ในภาษาโปรแกรม MOVE อย่างไม่ถูกต้อง” โดย ‘public(friend)’ อนุญาตให้ฟังก์ชันถูกเรียกใช้โดยฟังก์ชันอื่นภายในโมดูลเดียวกันหรือโดยบัญชีภายนอกที่ระบุใน “friends list” แต่ไม่ใช่โดย caller รายอื่น ในทางกลับกัน ‘entry’ ระบุว่าฟังก์ชันสามารถเรียกใช้โดยบัญชีภายนอกใดก็ได้
Bridge มีฟังก์ชันที่เรียกว่า ‘publish_event’ ซึ่งใช้ในการประกาศกิจกรรมต่าง ๆ เช่น การโอนโทเค็น และควรจะเรียกได้โดยฟังก์ชันอื่นภายในโมดูลเดียวกันหรือโดย “specified external entities” เท่านั้น อย่างไรก็ตาม ในเวอร์ชันของ Bridge ที่ CertiK ศึกษาพบว่า ฟังก์ชันนี้ได้รับการแก้ไขโดยทั้ง ‘public(friend)’ และ ‘entry’ ทำให้ทุกคนสามารถเรียก “publish_event” ได้ แม้ว่าจะไม่ใช่ caller ที่ได้รับอนุมัติก็ตาม
ช่องโหว่นี้ ผู้โจมตีอาจสร้างธุรกรรมปลอมที่ดูเหมือนจะย้ายโทเค็นจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่ง แม้ว่าจะไม่มีการย้ายโทเค็นจริงก็ตาม ซึ่ง “events” เหล่านี้อาจทำให้ Ethereum เวอร์ชัน Bridge สร้างเหรียญหรือปลดล็อคโทเค็นโดยไม่ต้องมีเงินฝากจริงสนับสนุนบนฝั่ง Aptos และอาจเป็นผลให้ผู้โจมตีสามารถระบายเงินทุนมูลค่ามากถึง 5 ล้านดอลลาร์จาก bridge ได้ ตามที่ CertiK กล่าว
CertiK แจ้งให้สมาชิกทีม Wormhole ทราบเกี่ยวกับข้อบกพร่องเมื่อวันที่ 5 ธันวาคม 2023 หลังจากตรวจสอบรายงานดังกล่าว ทีมงานก็ได้พัฒนาและทดสอบแพตช์เพื่อปิดช่องโหว่ด้านความปลอดภัย และแจ้งให้ Guardians ของโปรโตคอลทราบถึงปัญหานี้ ด้วยการลงคะแนนเสียง multisignature ซึ่ง Guardians ก็ได้อนุมัติแพตช์ที่จะนำไปใช้ และสัญญา Aptos ของโปรโตคอลได้รับการอัปเกรดเพื่อใช้โค้ดใหม่ โดยกระบวนการแก้ไขจะใช้เวลาประมาณสามชั่วโมง และ bridge เวอร์ชันใหม่จะไม่เสี่ยงต่อการถูกโจมตีนี้อีกต่อไป
นอกเหนือจากการลบคีย์เวิร์ด ‘entry’ ออกจากฟังก์ชัน publish_event แล้ว แพตช์ใหม่ยังจำกัดมูลค่าของ “governor rate limits” บน Aptos จาก 5 ล้านดอลลาร์เหลือ 1 ล้านดอลลาร์ เพื่อป้องกันการถอนเงินจาก Aptos ที่มากกว่า 1 ล้านดอลลาร์ต่อวันได้อย่างมีประสิทธิภาพ และสิ่งนี้ทำเพื่อจำกัดความสูญเสียในกรณีของการโจมตีในอนาคต ซึ่งการใช้งานปัจจุบันนั้นต่ำกว่า 1 ล้านดอลลาร์ต่อวัน
Wormhole ยังดำเนินการ “วิเคราะห์ย้อนหลัง” เพื่อตรวจสอบว่าเงินทุนของผู้ใช้ได้รับผลกระทบจากปัญหานี้หรือไม่ และพวกเขาสรุปว่าไม่พบการโอนเงินอย่างผิดกฎหมายและยอดคงเหลือของผู้ใช้นั้นปลอดภัย
อ้างอิง : cointelegraph.com
ภาพ cryptodaily.co.uk
