El 27 de agosto, Asymmetric Research reveló que identificó un error crítico en Noble-CCTP de Circle, un componente del Protocolo de Transferencia de USDC (USDC) entre cadenas, en la red Cosmos.
Según la firma de seguridad Web3, un actor malicioso podría haber eludido potencialmente el proceso de verificación del remitente del mensaje del protocolo de transferencia entre cadenas para acuñar tokens falsos de USDC en el puente Noble.
Más específicamente, el controlador “ReceiveMessage” de Noble-CCTP estaba aceptando “BurnMessages” de cualquier remitente sin verificar primero que el mensaje del puente fue enviado desde una dirección “TokenMessenger” verificada en la cadena original. La firma de seguridad detalló la vulnerabilidad:
"Un atacante podría haber explotado esto y desencadenado acuñaciones maliciosas de USDC enviando un BurnMessage falso directamente a través de un contrato MessageTransmitter de CCTP, utilizando la dirección del módulo Noble-CCTP y el ID de cadena de Noble como destino de CCTP."
Asymmetric Research explicó que el problema inicialmente parecía ser un fallo de acuñación infinita, pero no podría haberlo sido debido a la aplicación de un límite de acuñación de aproximadamente 35 millones de USDC por parte de Noble.
Un gráfico que explica los diferentes componentes de CCTP. Fuente: Asymmetric Research
La firma de seguridad Web3 concluyó señalando que ningún usuario perdió fondos y ningún actor malicioso pudo aprovechar la vulnerabilidad y lanzar un ataque. Al momento de escribir esto, Circle ha solucionado el error de software.
El puente entre cadenas de Noble de Circle no es el único
En mayo de 2024, se identificó una vulnerabilidad similar en el puente Wormhole en la red Aptos. CertiK—otra firma de seguridad blockchain—descubrió la debilidad que habría resultado en una explotación de USD 5 millones si la vulnerabilidad no hubiera sido identificada y abordada.
La vulnerabilidad crítica en Wormhole fue causada por un problema con la función “publish_event”, que permitía a cualquiera llamar al contrato y acuñar tokens falsos.
Sin embargo, Wormhole no siempre ha tenido tanta suerte cuando se trata de abordar proactivamente las vulnerabilidades. En 2022, el protocolo de puente perdió USD 321 millones en una explotación de alto perfil que permitió a un usuario acuñar tokens falsos.
Casi el 80% de las criptomonedas hackeadas no recuperan su precio
El descubrimiento de la vulnerabilidad crítica por parte de Asymmetric Research es positivo para USDC de Circle, que podría haber sufrido consecuencias graves si un actor malicioso hubiera aprovechado la vulnerabilidad.
Un informe reciente de ImmuneFi compartido con Cointelegraph reveló que casi el 80% de las criptomonedas hackeadas o explotadas nunca recuperan su precio en términos de valor.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión