Theo một bài đăng trên mạng xã hội từ nền tảng bảo mật blockchain CertiK, một lỗ hổng bảo mật trong cầu Wormhole trên mạng Aptos có thể gây ra tổn thất trị giá 5 triệu USD nếu không được phát hiện.
CertiK đã phát hiện và báo cáo lỗi này cho nhóm Wormhole trước khi nó bị khai thác. Hiện lỗ hổng này đã được xử lí và không còn khả năng gây tác động nữa.
Aptos là mạng blockchain sử dụng ngôn ngữ lập trình MOVE, ban đầu do Facebook phát triển cho dự án Libra. Những người ủng hộ MOVE cho rằng viết hợp đồng thông minh bằng MOVE an toàn hơn so với Solidity của Ethereum hoặc các ngôn ngữ khác.
Báo cáo của CertiK, được đăng dưới dạng video, cho biết lỗ hổng này xuất phát từ việc triển khai sai các công cụ sửa đổi ‘public(friend)’ và ‘entry’ trong MOVE. ‘Public(friend)’ cho phép hàm được gọi bởi các hàm khác trong cùng mô-đun hoặc các tài khoản trong “danh sách bạn bè”, còn ‘entry’ cho phép hàm được gọi bởi bất kỳ tài khoản bên ngoài nào.
Do lỗ hổng này, kẻ tấn công có thể tạo các giao dịch giả mạo để chuyển mã thông báo mà không có mã thông báo thực sự nào di chuyển, khiến phiên bản Ethereum của cây cầu đúc hoặc mở khóa mã thông báo không có khoản tiền gửi thực sự hỗ trợ từ phía Aptos.
Guardians đã phê duyệt và triển khai bản vá qua một cuộc bỏ phiếu đa chữ ký. Quá trình sửa lỗi mất khoảng ba giờ, và phiên bản mới của cây cầu không còn dễ bị khai thác nữa.
Đọc thêm: Wormhole (W) là gì? Dự án đã có đợt airdrop khổng lồ trong 2024
