Circle behebt Fehler, der bei Ausnutzung zu Verlusten in Millionenhöhe hätte führen können

  • Angreifer hätten bis zu 35 Millionen USDC auf der Noble Bridge prägen können, wenn Asymmetric Research die Schwachstellen nicht gefunden hätte.

Als Forscher, der jahrelang in die Tiefen der Blockchain-Technologie und Cybersicherheit eingetaucht ist, kann ich getrost sagen, dass die Entdeckung einer Schwachstelle wie der von Asymmetric Research sowohl berauschend als auch erschreckend ist. Einerseits ist es spannend, potenzielle Bedrohungen aufzudecken und dabei zu helfen, Systeme vor böswilligen Akteuren zu schützen. Andererseits ist der Gedanke, was hätte passieren können, wenn dieser Fehler unbemerkt geblieben wäre, erschreckend.

Vereinfacht ausgedrückt hat das Cybersicherheitsunternehmen Asymmetric ein potenzielles Problem im System von Circle entdeckt, das zu erheblichen finanziellen Verlusten hätte führen können, wenn es nicht behoben würde. Dieses Problem wurde im Cross-Chain Transfer Protocol (CCTP) von Circle gefunden, das im Cosmos-Netzwerk zur Überbrückung ihres USDC-Stablecoins verwendet wird. Genauer gesagt hat Asymmetric eine Schwachstelle im noble-cctp-Modul des CCTP lokalisiert.

In ihren Erkenntnissen enthüllte das Sicherheitsunternehmen, dass es Circle im Rahmen seines Bug-Bounty-Programms vertraulich eine potenzielle Schwachstelle mitgeteilt hatte. Wichtig ist, dass es keinen Vorfall schädlicher Ausbeutung gab und keine Kundengelder kompromittiert wurden. Sobald sie davon Kenntnis erlangten, kümmerte sich Circle umgehend um die Behebung des Fehlers.

Es gab eine potenzielle Schwachstelle in Noble Bridge, einer Anwendung für kettenübergreifende Übertragungen zwischen mit Cosmos verknüpften Blockchains, die es skrupellosen Benutzern möglicherweise ermöglicht hätte, eine unbegrenzte Menge an USDC-Tokens zu generieren. Bei näherer Betrachtung scheint es, dass Unbefugte das Nachrichtensender-Verifizierungssystem der Bridge manipulieren könnten, das nur Nachrichten von zugelassenen „TokenMessenger“-Adressen nach Nutzung der „BurnMessages“-Funktion verifizieren soll. Es wurde jedoch festgestellt, dass dieser Überprüfungsprozess nicht diesem Verfahren folgte.

„Asymmetric gab in seinen Erkenntnissen an, dass ein Angreifer möglicherweise in der Lage gewesen sein könnte, USDC-Mints böswillig zu manipulieren, indem er eine erfundene BurnMessage direkt über einen CCTP-MessageTransmitter-Vertrag gesendet und dabei die Adresse des noble-cctp-Moduls und die Chainid von noble als CCTP-Ziel verwendet hat. Dennoch konnten wir“ Wir konnten keinen Beweis dafür finden, dass diese Schwachstelle tatsächlich ausgenutzt wurde.“

Unendlicher Geldfehler auf den ersten Blick

Nach ersten Einschätzungen von Asymmetric schien es zunächst, dass Angreifer unbegrenzt USDC-Token erstellen könnten. Nach näherer Prüfung hatte Noble jedoch eine Obergrenze von etwa 35 Millionen USDC für die Token-Prägung festgelegt – ein Problem, das weiterhin Anlass zur Sorge gab. Glücklicherweise wurde dieser Fehler von keinem böswilligen Akteur entdeckt, wodurch die ungerechtfertigte Erstellung von Token oder der Verlust von Geldern für Noble Bridge-Benutzer verhindert wurde. Als Reaktion darauf hat Circle die Schwachstelle umgehend behoben, indem es den Verifizierungsprozess verstärkt hat, um sicherzustellen, dass nur legitime Adressen Prägevorgänge einleiten können.

Wenn Asymmetric den Fehler nicht entdeckt hätte, wären Circle und seine Benutzer wahrscheinlich Teil einer zunehmend besorgniserregenden Gruppe von Opfern der diesjährigen Cyberangriffe gewesen, was den Lauf der Geschichte dramatisch verändert hätte.

Weiterlesen

2024-08-29 15:05