El 27 de agosto, Asynchronous Research reveló que identificó un error crítico en Noble-CCTP de Circle, un componente del USDC (USDC) Protocolo de transferencia entre cadenas, en la red Cosmos.
Según la empresa de seguridad Web3, un actor malicioso podría haber eludido potencialmente el proceso de verificación del remitente de mensajes del protocolo de transferencia entre cadenas para acuñar tokens USDC falsos en el puente Noble.
Más específicamente, el controlador “ReceiveMessage” de Noble-CCTP aceptaba “BurnMessages” de cualquier remitente sin verificar primero que el mensaje puente se enviara desde una dirección “TokenMessenger” verificada en la cadena original. La empresa de seguridad describió la vulnerabilidad con más detalle:
“Un atacante podría haber sido capaz de explotar esto y activar acuñaciones maliciosas de USDC enviando un BurnMessage falso directamente a través de un contrato CCTP MessageTransmitter, utilizando la dirección del módulo Noble-CCTP y la cadena-ID de Noble como destino CCTP”.
Asynchronous Research explicó que el problema inicialmente parecía ser una falla de acuñación infinita, pero no podría haber sido debido a la aplicación por parte de Noble de un límite de acuñación de aproximadamente 35 millones de USDC.
Un gráfico que explica los diferentes componentes del CCTP. Fuente: Investigación asimétrica
La empresa de seguridad Web3 concluyó señalando que ningún usuario perdió fondos y ningún actor malicioso logró aprovechar la vulnerabilidad y lanzar un ataque. Al momento de escribir este artículo, Circle había solucionado el error de software.
Relacionado: Circle propone un nuevo marco de capital-riesgo para las monedas estables
El puente de cadena cruzada Noble de Circle no es el único
En mayo de 2024, Una vulnerabilidad similar Se identificó un agujero de gusano en el puente de la red Aptos. CertiK, otra empresa de seguridad de cadenas de bloques, descubrió la debilidad que habría resultado en un exploit de 5 millones de dólares si la vulnerabilidad no se hubiera identificado y abordado.
La vulnerabilidad crítica de Wormhole fue causada por un problema con la función “publish_event”, que permitía a cualquiera llamar al contrato y crear tokens falsos.
Sin embargo, Wormhole no siempre ha tenido tanta suerte a la hora de abordar de forma proactiva las vulnerabilidades. En 2022, el protocolo puente perdió $321 millones en un exploit de alto perfil que permite a un usuario crear tokens falsos.
Casi el 80% de las criptomonedas hackeadas no recuperan su precio
El descubrimiento de la vulnerabilidad crítica por parte de Asynchronous Research es un buen augurio para el USDC de Circle, que puede haber sufrido consecuencias como resultado de que un actor malicioso se haya aprovechado de la vulnerabilidad.
Un informe reciente de ImmuneFi compartido con Cointelegraph reveló que casi el 80% de las criptomonedas pirateadas o explotadas Nunca te recuperes en términos de precio.
Fuente Traducida desde cointelegraph.com