Celah Keamanan $5 Juta Ditemukan CertiK di Jembatan Wormhole di Aptos!

Celah Keamanan $5 Juta Ditemukan CertiK di Jembatan Wormhole di Aptos!

Jakarta, Pintu News – Platform keamanan blockchainCertiK mengklaim telah menemukan celah keamanan pada jembatan Wormhole (WORM) di jaringan Aptos (APT) yang dapat mengakibatkan kerugian hingga $5 juta.

Beruntungnya, celah tersebut berhasil ditemukan dan dilaporkan ke tim Wormhole sebelum dapat dieksploitasi. Kini, celah tersebut telah ditambal dan jembatan tersebut tidak lagi rentan. Simak berita lengkapnya berikut ini!

Celah Keamanan pada Jembatan Wormhole

Celah keamanan tersebut ditemukan pada fungsi “publish event” yang digunakan untuk mengumumkan peristiwa seperti transfer token. Fungsi ini seharusnya hanya dapat dipanggil oleh fungsi lain dalam modul yang sama atau oleh entitas eksternal tertentu yang ditentukan dalam “daftar teman”.

Namun, dalam versi jembatan yang diteliti CertiK, fungsi tersebut dimodifikasi oleh “public(friend)” dan “entry” sekaligus. Hal ini memungkinkan siapa pun untuk memanggil “publish event” meskipun mereka bukan pemanggil yang disetujui.

Akibat celah ini, penyerang dapat membuat transaksi palsu yang seolah-olah memindahkan token dari satu akun ke akun lain, meskipun sebenarnya tidak ada token yang dipindahkan.

Peristiwa ini dapat menyebabkan versi Ethereum dari jembatan tersebut mencetak atau membuka kunci token tanpa memiliki simpanan nyata yang mendukungnya di sisi Aptos. Alhasil, penyerang dapat menguras dana hingga $5 juta dari jembatan tersebut.

Baca Juga: Aptos Labs Gandeng Raksasa Industri untuk Luncurkan Platform Institusional Aptos Ascend

Kronologi Penemuan dan Penanganan Celah Keamanan

penanganan certik
Sumber: Akun X CertiK

CertiK melaporkan celah tersebut kepada tim Wormhole pada tanggal 5 Desember 2023. Setelah menyelidiki laporan tersebut, tim Wormhole mengembangkan dan menguji patch untuk menutup celah keamanan tersebut dan memberi tahu Guardians protokol tentang masalah tersebut.

Melalui pemungutan suara multi-tanda tangan, Guardians menyetujui patch tersebut untuk diterapkan, dan kontrak Aptos protokol tersebut ditingkatkan untuk menerapkan kode baru. Setelah celah tersebut dilaporkan, proses perbaikannya memakan waktu sekitar tiga jam, dan versi baru jembatan tersebut tidak lagi rentan terhadap eksploitasi ini.

Baca Juga: Aptos Gandeng Google Cloud untuk Meningkatkan Pengalaman Bermain Game Web3

Analisis Retrospektif dan Keamanan Wormhole

Wormhole juga melakukan “analisis retrospektif” untuk menentukan apakah ada dana pengguna yang terpengaruh oleh masalah tersebut. Mereka menyimpulkan bahwa tidak ada dana yang ditransfer secara ilegal dan saldo pengguna aman.

Wormhole tidak selalu berhasil menangkap celah keamanan sebelum dieksploitasi. Pada tahun 2022, mereka kehilangan lebih dari $321 juta ketika bug di bagian Solana dari jembatan tersebut memungkinkan penyerang untuk mencetak token yang tidak didukung.

Namun, tim tersebut kemudian menambal bug tersebut dan memberi kompensasi kepada pengguna. Pada bulan Januari, Wormhole mendapatkan kembali $1 miliar dalam total nilai terkunci untuk pertama kalinya sejak insiden tersebut, menunjukkan bahwa beberapa pengguna merasa praktik keamanannya telah membaik.

Kesimpulan

Penemuan celah keamanan $5 juta di jembatan Wormhole di Aptos oleh CertiK menjadi peringatan penting bagi pentingnya keamanan dalam sistem blockchain. Meskipun celah tersebut berhasil ditemukan dan ditangani sebelum dieksploitasi, hal ini menunjukkan bahwa masih ada potensi kerentanan yang dapat dimanfaatkan oleh penyerang.

Oleh karena itu, pengembang dan pengguna blockchain harus terus meningkatkan kewaspadaan dan menerapkan praktik keamanan yang ketat untuk melindungi aset digital mereka.

Ikuti kami di Google News untuk mendapatkan berita-berita terbaru seputar crypto. Nyalakan notifikasi agar tidak ketinggalan beritanya.

*Disclaimer

Konten ini bertujuan memperkaya informasi pembaca. Selalu lakukan riset mandiri dan gunakan uang dingin sebelum berinvestasi. Segala aktivitas jual beli dan investasi aset crypto menjadi tanggung jawab pembaca.

Referensi