聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
Wormhole 是一款去中心化的通用信息傳遞協議,可使各區塊鏈如以太坊、Terra 和幣安智能鏈 (BSC) 之間實現互用性。
Immunefi 公司發布PoC 指出,利用該漏洞的攻擊者「本可實施勒索,使以太坊 Wormhole 橋不可用,合約中的所有資金永遠丟失。」該PoC 也提到「在提交漏洞時合約中存在價值7.36億的資產。」
Wormhole 向網絡暱稱為 「satya0x」 的漏洞獵人頒發了其在 Immunefi 上託管的漏洞獎勵計劃的最大賞金額,1000萬美元。
該漏洞是「可升級的代理實現自毀bug」,已得到驗證,並在Satya0x 報告的同一天即2月24日修復。
該 Wormhole漏洞是因為通用的可升級代理標準 (UUPS) 代理的一個實現「在此前一個漏洞修復更改了原始的初始化之後未進行清理導致的,意味着攻擊者可設置自己的 Guardian 並以受控制的 Guardian 進行升級」。
之後攻擊者可以 submitContractUpgrade() 強制升級,導致DELEGATECALL 到攻擊者提交的地址,通過執行SELFDESTRUCT 操作碼可破壞實現合約。
Satya0x 表示,「能夠緩解嚴重漏洞以及緩解生態系統的系統化威脅中發揮作用,我感到自豪。」他對Wormhole對「整個漏洞獎勵流程」的處理表示讚賞,並表示 Immunefi 是一個「博學的、可見的、值得信任的中立第三方」。
提供如此多的賞金是因為去中心化金融 (DeFi) 平台成功被黑後造成的巨大損失,更不用說Wormhole 今年早些時候就有3.25億美元被盜的案例。
此次的賞金刷新了區塊鏈技術公司 Polygon 在2021年10月因道德黑客 Gerhard Wagner 發現「雙花」漏洞而獲得的200萬美元。而這次賞金也超過了谷歌在2021年所有漏洞獎勵計劃中頒發的賞金總額870萬美元。另外一個DeFi 平台 MakerDAO 也提供最高為1000萬美元的賞金。
國外研究員直播關於區塊鏈51%攻擊的那些事兒
他們是如何利用區塊鏈技術實施犯罪的?
物聯網、區塊鏈,一流專家揭秘如何挖掘熱點技術漏洞
區塊鏈智能合約漏洞,想說補你不容易
EOS 區塊鏈又曝節點配置錯誤
https://portswigger.net/daily-swig/blockchain-bridge-wormhole-pays-record-10m-bug-bounty-reward
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表