Công ty chuyên về bảo mật blockchain, CertiK, vừa phát hiện và khắc phục thành công một lỗ hổng bảo mật nghiêm trọng trên cầu nối cross-chain Wormhole của nền tảng Aptos. Lỗ hổng này có thể cho phép kẻ tấn công tạo ra các giao dịch giả mạo, đe dọa đến an toàn tài sản của người dùng.
Chi Tiết Về Lỗ Hổng và Cách Khắc Phục
Lỗ hổng được phát hiện ngày 05/12/2023 và có tiềm năng cho phép hacker giả mạo thông tin, khiến hệ thống Wormhole nhầm lẫn rằng các token đã được khóa trên Aptos. Điều này có thể mở ra cơ hội cho hacker giải phóng lượng lớn tiền ảo, lên đến 5 triệu USD, từ các blockchain khác.
Ngay sau khi phát hiện, CertiK đã thông báo cho đội ngũ phát triển Wormhole, và trong vòng chỉ ba giờ, một bản vá lỗi đã được triển khai để ngăn chặn bất kỳ hành động phá hoại nào. Nhờ đó, phiên bản mới của Wormhole đã được cập nhật và bảo mật hơn.
Phân Tích Kỹ Thuật
Cầu nối Wormhole trên Aptos sử dụng ngôn ngữ lập trình MOVE, đóng vai trò như bộ quy tắc quản lý ai có thể thực hiện hành động gì và khi nào. Lỗ hổng xuất phát từ việc cấu hình sai modifier trong ngôn ngữ lập trình, cho phép hàm publish_event
có quyền hạn quá rộng, như một câu lạc bộ để cửa mở cho bất kỳ ai đi ngang qua.
Kẻ tấn công có thể lợi dụng điểm yếu này để “khai báo” các sự kiện chuyển token không thật, tạo ra hậu quả giống như việc thông báo sự xuất hiện của một người nổi tiếng giả mạo tại câu lạc bộ. Điều này có thể khiến cho cầu nối Wormhole trên các nền tảng khác nhầm lẫn và giải phóng token mà không cần sự xác nhận từ Aptos.
Biện Pháp Phòng Ngừa và Kiểm Tra
Sau khi vá lỗi, đội ngũ Wormhole đã tiến hành kiểm tra kỹ lưỡng để đảm bảo không có quỹ của người dùng nào bị ảnh hưởng. Kết quả cho thấy không có bất kỳ dòng tiền bất hợp pháp nào xảy ra, và tài sản của người dùng vẫn an toàn.
Đây không phải là lần đầu tiên Wormhole gặp phải các vấn đề bảo mật. Trước đó, vào năm 2022, một vụ hack trên Wormhole đã dẫn đến việc mất mát 321 triệu USD trên mạng Solana, khiến đây trở thành một trong những vụ hack lớn nhất ngành tiền mã hóa trong năm đó. Các biện pháp an toàn và nâng cấp bảo mật liên tục đang được triển khai để tránh những rủi ro tương tự trong tương lai.