在 Circle 的 Noble-CCTP 中发现并修复了关键错误

8月27日，Asymmetric Research透露，它在Cosmos网络上发现了Circle的Noble-CCTP（USDC跨链传输协议的一个组件）中的一个关键漏洞。

据这家 Web3 安全公司称，恶意行为者有可能绕过跨链传输协议的消息发送者验证过程，在 Noble 桥上伪造 USDC 代币。

更具体地说，Noble-CCTP "ReceiveMessage "处理程序接受来自任何发件人的 "BurnMessages"，而不首先检查桥接信息是否来自原始链上经过验证的 "TokenMessenger "地址。该安全公司更详细地概述了这一漏洞：

"攻击者可以利用这一点，直接通过 CCTP MessageTransmitter 合约发送虚假的 BurnMessage，使用 Noble-CCTP 模块地址和 Noble 的链 ID 作为 CCTP 目的地，从而触发恶意 USDC 造币"。

Asymmetric Research解释说，该问题最初似乎是一个无限铸币故障，但不可能是由于Noble执行了约3500万美元的铸币限额。

Web3 安全公司最后指出，没有用户损失资金，也没有恶意行为者能够成功利用该漏洞发起攻击。截至本文撰写之时，Circle 已经修复了软件漏洞。

相关：Circle为稳定币提出新的资本风险框架

Circle的贵族跨链桥不是唯一一个

2024 年 5 月，Aptos 网络上的 Wormhole 桥也发现了类似的漏洞。另一家区块链安全公司 CertiK 发现了这一漏洞，如果该漏洞没有被发现和解决，将导致价值 500 万美元的漏洞利用。

Wormhole 的关键漏洞是由 "publish_event "函数的问题造成的，任何人都可以调用该合约并制造假代币。

然而，在主动解决漏洞方面，Wormhole 并不总是那么幸运。2022 年，该桥接协议在一个备受瞩目的漏洞中损失了 3.21 亿美元，该漏洞允许用户铸造虚假代币。

近 80% 遭黑客攻击的加密货币价格无法恢复

Asymmetric Research发现的这个关键漏洞对Circle的USDC来说是个好兆头，因为恶意行为者可能会利用这个漏洞造成后果。

ImmuneFi 最近与 Cointelegraph 分享的一份报告显示，近 80% 被黑客攻击或利用的加密货币的价格从未恢复。

杂志：奇怪的 "空地址 "iVest 黑客，数百万台个人电脑仍易受 "Sinkclose "恶意软件攻击：加密安全