Circle khắc phục lỗ hổng nghiêm trọng Noble-CCTP mà không mất quỹ người dùng hoặc bị tấn công độc hại

Công ty bảo mật blockchain Asymmetric Research đã tiết lộ rằng họ đã phát hiện ra một lỗ hổng nghiêm trọng trong Noble-CCTP của Circle, một thành phần của giao thức vận chuyển chuỗi chéo USDC trên mạng Cosmos và đã thông báo riêng cho Circle về lỗ hổng này, lỗ hổng đã được khắc phục kịp thời mà không gây mất mát quỹ người dùng hay các cuộc tấn công độc hại.

Công ty bảo mật phát hiện rằng các tác nhân độc hại có thể bỏ qua quá trình xác minh người gửi thông điệp của giao thức vận chuyển chuỗi chéo này và giả mạo USDC trên cầu nối Noble. Cụ thể hơn, mà không cần kiểm tra trước rằng thông điệp cầu nối được gửi từ địa chỉ “TokenMessenger” đã được xác minh trên chuỗi ban đầu, cầu nối Noble-CCTP có thể bị giả mạo. Bộ xử lý “ReceiveMessage” của Noble-CCTP chấp nhận “BurnMessages” từ bất kỳ người gửi nào.

Tuy nhiên, mặc dù lỗ hổng ban đầu có vẻ như là một lỗi đúc tiền không giới hạn, nhưng tác động thực tế đã bị giới hạn do giới hạn đúc tiền của Noble là khoảng 35 triệu USDC.