Una falla de seguridad en el puente Wormhole en la purple de Aptos podría haber resultado en pérdidas de USD 5 millones si no se hubiera descubierto, según una publicación en redes sociales de la plataforma de seguridad blockchain, CertiK. La plataforma afirmó haber descubierto el error y lo reportó al equipo de Wormhole antes de que pudiera ser usado. La falla ha sido parcheada y el puente ya no es susceptible.
Aptos es una crimson blockchain que utiliza el lenguaje de programación Shift, que fue desarrollado originalmente por Fb para el proyecto Libra. Los partidarios de Shift afirman que es un lenguaje más seguro para escribir contratos inteligentes en comparación con Solidity de Ethereum u otras alternativas.
El informe de CertiK se publicó en forma de movie. Afirmaba que la falla «surge de una implementación incorrecta de los modificadores ‘public(buddy)’ y ‘entry’ en el lenguaje de programación Shift». El modificador ‘public(friend)’ permite que una función sea llamada por otras funciones dentro del mismo módulo o por cuentas externas especificadas en una «lista de amigos», pero no por otros llamadores. Por otro lado, el modificador ‘entry’ especifica que una función puede ser llamada por cualquier cuenta externa.
El puente contenía una función llamada ‘publish_event’, que se utilizaba para anunciar eventos como transferencias de tokens. Supuestamente, solo podía ser llamada por otras funciones dentro del mismo módulo o por ciertas «entidades externas especificadas». Sin embargo, en la versión del puente que CertiK estudió, la función fue modificada tanto por ‘public(close friend)’ como por ‘entry’. Esto hizo posible que cualquier persona llamara ‘publish_event’, incluso si no eran un llamador aprobado.
Debido a esta falla, un atacante podría haber creado transacciones falsas que aparentaban mover tokens de una cuenta a otra, aunque en realidad no se estuvieran moviendo tokens reales. Estos «eventos» podrían haber hecho que la versión de Ethereum del puente emitiera o desbloqueara tokens sin tener ningún depósito serious respaldándolos en el lado de Aptos. Como resultado, el atacante podría haber drenado hasta USD 5 millones de fondos del puente, según CertiK.
CertiK informó a los miembros del equipo de Wormhole sobre la falla el 5 de diciembre de 2023. Después de investigar el informe, el equipo desarrolló y probó un parche para cerrar la brecha de seguridad e informó a los Guardianes del protocolo sobre el problema. A través de una votación multisig, los Guardianes aprobaron la implementación del parche, y el contrato Aptos del protocolo se actualizó para implementar el nuevo código. Una vez reportada la falla, el proceso de reparación tomó aproximadamente tres horas, y la nueva versión del puente ya no es susceptible a este exploit.
Además de eliminar la palabra clave ‘entry’ de la función publish_event, el nuevo parche también restringió el valor de los «límites de tasa del gobernador» en Aptos de USD 5 millones a USD 1 millón, evitando efectivamente retiros de Aptos de más de USD 1 millón por día. Esto se hizo para limitar las pérdidas en caso de un futuro exploit. El uso genuine está por debajo de USD 1 millón por día, afirmó CertiK, lo que implica que el límite de la tasa no debería afectar a la mayoría de los usuarios.
Wormhole también realizó un «análisis retrospectivo» para determinar si algún fondo de usuario se había visto afectado por el problema. Concluyeron que no se habían transferido fondos ilícitamente y que los saldos de los usuarios estaban seguros.
Wormhole no siempre ha logrado detectar fallas de seguridad antes de que sean explotadas. En 2022, perdió más de USD 321 millones cuando un error en la parte de Solana del puente permitió a un atacante emitir tokens sin respaldo. Sin embargo, el equipo luego parcheó el mistake y compensó a los usuarios. En enero, Wormhole recuperó USD 1 mil millones en valor overall bloqueado por primera vez desde el incidente, lo que muestra que algunos usuarios sienten que sus prácticas de seguridad han mejorado.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto complete invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
