Circle aborda bug que poderia ter causado milhões de perdas se explorado

Por
  • Os invasores poderiam ter cunhado até 35 milhões de USDC na Noble Bridge se a Asymmetric Research não tivesse encontrado as falhas.

Como pesquisador que passou anos mergulhando nas profundezas da tecnologia blockchain e da segurança cibernética, posso dizer com segurança que descobrir uma vulnerabilidade como a encontrada pela Asymmetric Research é ao mesmo tempo estimulante e assustador. Por um lado, é emocionante descobrir ameaças potenciais e ajudar a proteger os sistemas contra agentes mal-intencionados. Por outro lado, pensar no que poderia ter acontecido se esse bug tivesse passado despercebido é assustador.

E aí, pessoal! Prontos para embarcar na viagem maluca das notícias de cripto? No nosso canal do Telegram, vamos explorar o mundo das criptomoedas com leveza e bom humor. É como um papo de bar sobre Bitcoin, só que sem a ressaca no dia seguinte! 😄 Junte-se a nós agora e vamos desvendar esse universo juntos! 💸🚀

Junte-se ao Telegram

Em termos mais simples, a empresa de segurança cibernética Asymmetric descobriu um problema potencial no sistema da Circle que poderia ter resultado em perdas financeiras significativas se não fosse controlado. Este problema foi encontrado no Cross-Chain Transfer Protocol (CCTP) da Circle, que é utilizado na rede Cosmos para fazer a ponte entre seu stablecoin USDC. Mais especificamente, a Asimétrica identificou uma vulnerabilidade no módulo noble-cctp do CCTP.

Em suas descobertas, a empresa de segurança revelou que havia compartilhado confidencialmente uma fraqueza potencial com a Circle por meio de seu programa de recompensas por bugs. É importante ressaltar que não houve nenhum incidente de exploração prejudicial e nenhum fundo de cliente foi comprometido. Assim que foram informados, a Circle rapidamente abordou o problema para corrigir o bug.

Havia uma vulnerabilidade potencial no Noble Bridge, um aplicativo para transferências cruzadas entre blockchains vinculados ao Cosmos, que poderia ter permitido que usuários inescrupulosos gerassem uma quantidade ilimitada de tokens USDC. Após um exame mais detalhado, parece que partes não autorizadas poderiam manipular o sistema de verificação de remetente de mensagens da ponte, que só deveria verificar mensagens de endereços “TokenMessenger” aprovados após usar a função “BurnMessages”. No entanto, constatou-se que este processo de verificação não segue este procedimento.

“A assimétrica declarou em suas descobertas que um invasor pode ter sido capaz de manipular moedas de USDC de forma maliciosa, enviando uma BurnMessage fabricada diretamente por meio de um contrato CCTP MessageTransmitter, empregando o endereço do módulo noble-cctp e o chainid de noble como destino CCTP. Mesmo assim, não poderíamos ‘ Não encontrei nenhuma prova de que esta vulnerabilidade foi realmente explorada.”

Falha de dinheiro infinito na primeira suposição

Inicialmente, parecia que os invasores poderiam criar tokens USDC ilimitadamente, de acordo com as avaliações iniciais da Asymmetric. No entanto, após uma análise mais aprofundada, a Noble estabeleceu um limite de aproximadamente 35 milhões de USDC para a cunhagem de tokens – uma questão que permaneceu preocupante. Felizmente, nenhum agente malicioso descobriu esse bug, evitando qualquer criação injustificada de tokens ou perda de fundos para usuários do Noble Bridge. Em resposta, a Circle abordou rapidamente a vulnerabilidade, reforçando o processo de verificação para garantir que apenas endereços legítimos pudessem iniciar procedimentos de cunhagem.

Se o Asimétrico não tivesse descoberto a falha, é provável que o Circle e seus usuários fizessem parte de um grupo cada vez mais preocupante de vítimas dos ataques cibernéticos deste ano, mudando drasticamente o curso da história.

2024-08-29 15:05