Circle、Noble-CCTPの重大な脆弱性を修正し、ユーザー資金の損失や悪意のある攻撃を防ぐ

ブロックチェーンセキュリティ企業のAsymmetric Researchは、Cosmosネットワーク上のUSDCクロスチェーントランスポートプロトコルのコンポーネントであるCircleのNoble-CCTPに重大な脆弱性を発見し、この脆弱性をCircleに非公開で通知したことを明らかにしました。この脆弱性は迅速に修正され、ユーザー資金の損失や悪意のある攻撃は発生しませんでした。

セキュリティ企業は、悪意のある行為者がこのクロスチェーントランスポートプロトコルのメッセージ送信者検証プロセスを回避し、Nobleブリッジ上でUSDCを偽装できることを発見しました。具体的には、最初のチェーン上の検証済み「TokenMessenger」アドレスからメッセージが送信されていることを確認せずに、Noble-CCTPブリッジが偽装される可能性がありました。Noble-CCTPの「ReceiveMessage」ハンドラーは、任意の送信者からの「BurnMessages」を受け入れます。

しかし、この脆弱性は当初、無制限のミント欠陥のように見えましたが、実際の影響はNobleの約3500万USDCのミント制限により限定されていました。