Phát hiện lỗi nghiêm trọng và khắc phục trong Noble-CCTP của Circle
-
nautxplorer - 27 Tháng 08 lúc 22:51
Ngày 27 tháng 8, Asymmetric Research tiết lộ rằng họ đã phát hiện một lỗi nghiêm trọng trong Noble-CCTP của Circle, một phần của USDC (USDC) Cross-Chain Transfer Protocol, trên mạng Cosmos.
Theo công ty bảo mật Web3, một kẻ tấn công có thể đã lách qua quy trình xác minh người gửi thông điệp của giao thức chuyển chuỗi chéo để tạo ra các token USDC giả trên cầu Noble.
Cụ thể hơn, bộ xử lý “ReceiveMessage” của Noble-CCTP đã chấp nhận “BurnMessages” từ bất kỳ người gửi nào mà không kiểm tra trước rằng thông điệp cầu nối được gửi từ địa chỉ “TokenMessenger” đã được xác minh trên chuỗi gốc. Công ty bảo mật đã mô tả chi tiết lỗ hổng này:
“Một kẻ tấn công có thể đã khai thác điều này và kích hoạt việc tạo ra USDC giả bằng cách gửi một BurnMessage giả trực tiếp qua hợp đồng CCTP MessageTransmitter, sử dụng địa chỉ module Noble-CCTP và ID chuỗi của Noble làm điểm đến của CCTP.” Asymmetric Research giải thích rằng vấn đề ban đầu có vẻ như là một lỗi tạo vô hạn, nhưng không thể xảy ra do Noble áp đặt giới hạn tạo khoảng 35 triệu USDC.
Công ty bảo mật Web3 kết luận rằng không có người dùng nào mất tiền và không có kẻ tấn công nào có thể tận dụng lỗ hổng này để thực hiện một cuộc tấn công thành công. Tại thời điểm viết bài này, Circle đã khắc phục lỗi phần mềm.
Cầu nối chuỗi chéo Noble của Circle không phải là duy nhất
Vào tháng 5 năm 2024, một lỗ hổng tương tự đã được phát hiện trong cầu Wormhole trên mạng Aptos. CertiK—một công ty bảo mật blockchain khác—đã phát hiện ra điểm yếu này, có thể dẫn đến một cuộc tấn công trị giá 5 triệu đô la nếu lỗ hổng không được phát hiện và khắc phục.
Lỗ hổng nghiêm trọng của Wormhole do một vấn đề với chức năng “publish_event”, cho phép bất kỳ ai gọi hợp đồng và tạo ra các token giả.
Tuy nhiên, Wormhole không phải lúc nào cũng may mắn trong việc chủ động khắc phục các lỗ hổng. Năm 2022, giao thức cầu nối đã mất 321 triệu đô la trong một cuộc tấn công nổi tiếng cho phép người dùng tạo ra các token giả.
Gần 80% tiền điện tử bị hack không phục hồi giá
Phát hiện của Asymmetric Research về lỗ hổng nghiêm trọng này là một tín hiệu tốt cho USDC của Circle, có thể đã chịu hậu quả từ việc một kẻ tấn công lợi dụng lỗ hổng này.
Một báo cáo gần đây từ ImmuneFi chia sẻ với Chain Việt Nam tiết lộ rằng gần 80% tiền điện tử bị hack hoặc khai thác không bao giờ phục hồi về giá trị.
Chain Việt Nam
