Los hackeos de puentes fueron incidentes que captaron la atención de Vitalik Buterin a principios de 2022 y posteriormente causaron grandes dolores de cabeza a inversores. Se robaron millones de dólares del puente Ronin. Ahora, se ha descubierto una vulnerabilidad crítica que podría conducir a pérdidas aún mayores en el futuro. La vulnerabilidad encontrada en la red Aptos fue debido al mal uso del lenguaje de programación MOVE. Aquí están los detalles.
Vulnerabilidad Crítica de Seguridad
CertiK es una de las firmas de auditoría y ciberseguridad más conocidas en el espacio cripto. Antes de que los contratos inteligentes se activen, si no tienen la intención de defraudar a sus inversores, obtienen servicios de revisión de código de firmas de auditoría como CertiK. Estas firmas identifican vulnerabilidades en los contratos inteligentes y los parchean.
Además de procesos similares a las pruebas de penetración realizadas por firmas de ciberseguridad tradicionales, aquellas en cripto se centran en errores de codificación, que son un problema mayor. Los fallos en el código que los atacantes pueden explotar como puntos de entrada pueden llevar a pérdidas masivas. Según una publicación en redes sociales de CertiK, se detectó un fallo crítico en el puente Wormhole en la red Aptos.
La plataforma anunció que había descubierto el error y había contactado al equipo de Wormhole. Dado que aún no se utiliza mucho, un hackeo en esta etapa podría haber resultado en una pérdida de al menos $5 millones.
Vulnerabilidad de Seguridad en Aptos
La red Aptos, construida con el lenguaje MOVE desarrollado para el famoso proyecto Libra de Facebook, actualmente está entre las redes que compiten con Solana. Los desarrolladores habían pensado hasta ahora que el lenguaje MOVE era más seguro en comparación con otros. Sin embargo, según el informe de la compañía, el fallo mencionado en la primera sección fue debido al uso incorrecto del lenguaje MOVE. El equipo dijo;
“Se deriva de la aplicación incorrecta de los modificadores ‘public(friend)’ y ‘entry’ en el lenguaje de programación MOVE. El modificador ‘public(friend)’ permite que una función sea llamada por otras funciones dentro del mismo módulo o por cuentas externas especificadas en una ‘lista de amigos’, pero no por otros llamadores. Por otro lado, el modificador ‘entry’ indica que una función puede ser llamada por cualquier cuenta externa.”
El equipo que codificó el puente causó esta vulnerabilidad debido al diseño explotable de la función ‘publish_event’. Dejando de lado estos tecnicismos, podríamos haber visto a un actor malicioso usar la vulnerabilidad del código para transferir tokens inexistentes a través del puente y venderlos al otro lado. Los activos que pasan por el puente primero son colateralizados y luego las versiones locales se desbloquean en la red. El nuevo parche eliminó la palabra clave ‘entry’ de la función publish_event, eliminando la vulnerabilidad. Wormhole había sufrido una pérdida de $321 millones en 2022 debido a un fallo similar.