CertiK Temukan Kebocoran Keamanan pada Jembatan Wormhole Aptos, Apa yang Terjadi?

Jakarta, Pintu News – CertiK berhasil menemukan dan memperbaiki kelemahan keamanan utama pada jembatan Wormhole di jaringan Aptos, yang berpotensi menyelamatkan dana sebesar $5 juta. Kelemahan ini bisa memungkinkan penyerang untuk membuat transfer token palsu, tetapi tindakan cepat CertiK berhasil mengamankan dana pengguna.

Kebocoran Keamanan Wormhole Aptos Senilai $5 Juta Terungkap

CertiK menemukan kelemahan pada jembatan Wormhole di Aptos dan melaporkannya kepada tim Wormhole. Masalah ini berasal dari implementasi yang salah dari bahasa pemrograman MOVE, yaitu penggunaan modifier ‘public(friend)’ dan ‘entry’. Modifier ‘public(friend)’ memungkinkan fungsi dipanggil oleh orang lain dalam modul yang sama atau oleh akun eksternal yang ditentukan.

Sementara itu, modifier ‘entry’ memungkinkan akun eksternal manapun untuk memanggil sebuah fungsi. Jembatan memiliki fungsi bernama ‘publish_event’, yang seharusnya hanya bisa dipanggil oleh fungsi lain dalam modul yang sama atau entitas eksternal tertentu. Namun, fungsi tersebut dimodifikasi dengan ‘public(friend)’ dan ‘entry’, sehingga memungkinkan siapa pun untuk memanggil ‘publish_event’, bahkan jika mereka tidak diizinkan.

Kekurangan ini bisa memungkinkan penyerang untuk membuat transaksi palsu, yang seolah-olah mentransfer token dari satu akun ke akun lain tanpa benar-benar mentransfer token. Transaksi palsu ini bisa menyebabkan versi Ethereum dari jembatan untuk mencetak atau membuka kunci token tanpa deposit nyata yang mendukungnya di sisi Aptos, yang berpotensi menguras dana hingga $5 juta.

Tindakan Cepat CertiK untuk Memperbaiki dan Mengamankan Jembatan Wormhole

aptos alibaba — Sumber: Aptos Foundation

Setelah menemukan kelemahan, CertiK segera memberi tahu tim Wormhole pada 5 Desember 2023. Tim mengembangkan dan menguji sebuah patch untuk menutup celah keamanan. Mereka memberitahu Guardian protokol, yang menyetujui patch melalui suara multi-tanda tangan.

Kontrak Aptos protokol kemudian ditingkatkan, mengamankan jembatan tersebut. Proses ini memakan waktu sekitar tiga jam. Selain menghapus kata kunci ‘entry’ dari fungsi publish_event, patch baru juga membatasi ‘governor rate limits’ pada Aptos dari $5 juta menjadi $1 juta.

Langkah strategis ini bertujuan untuk membatasi kerugian potensial dari eksploitasi di masa depan. CertiK mencatat bahwa penggunaan saat ini berada di bawah $1 juta per hari, sehingga batasan tarif tidak akan memengaruhi sebagian besar pengguna.

Analisis Retrospektif dan Langkah Keamanan Selanjutnya

Wormhole juga melakukan analisis retrospektif untuk memeriksa apakah masalah tersebut memengaruhi dana pengguna. Studi tersebut mengkonfirmasi bahwa tidak ada dana yang ditransfer secara tidak sah, dan saldo pengguna tetap aman. Ini bukan kali pertama Wormhole menghadapi tantangan keamanan.

Pada tahun 2022, jembatan kehilangan lebih dari $321 juta karena bug di bagian Solana dari jembatan, yang memungkinkan penyerang mencetak token tanpa dukungan. Meskipun setback ini, Wormhole meningkatkan praktik keamanannya dan mendapatkan kembali $1 miliar dalam total nilai yang terkunci.

Ikuti kami di Google News untuk mendapatkan berita-berita terbaru seputar crypto. Nyalakan notifikasi agar tidak ketinggalan beritanya.

*Disclaimer:
Konten ini bertujuan memperkaya informasi pembaca. Selalu lakukan riset mandiri dan gunakan uang dingin sebelum berinvestasi. Segala aktivitas jual beli dan investasi aset crypto menjadi tanggung jawab pembaca.

Referensi:

BeInCrypto. APTOS’ WORMHOLE BRIDGE $5M SECURITY FLAW DISCOVERED. Diakses pada 15 Mei 2024.
Featured Image: CCN

Array