Circle corrige la vulnérabilité critique de Noble-CCTP sans perte de fonds utilisateurs ni attaques malveillantes

La société de sécurité blockchain Asymmetric Research a révélé avoir découvert une vulnérabilité critique dans le Noble-CCTP de Circle, un composant du protocole de transport inter-chaînes USDC sur le réseau Cosmos, et a informé Circle de manière privée de cette vulnérabilité, qui a été rapidement corrigée sans perte de fonds utilisateurs ni attaques malveillantes.

La société de sécurité a découvert que des acteurs malveillants pouvaient contourner le processus de vérification de l'expéditeur de messages de ce protocole de transport inter-chaînes et usurper l'USDC sur le pont Noble. Plus précisément, sans vérifier d'abord que le message du pont était envoyé depuis une adresse "TokenMessenger" vérifiée sur la chaîne initiale, le pont Noble-CCTP pouvait être usurpé. Le gestionnaire "ReceiveMessage" de Noble-CCTP accepte les "BurnMessages" de n'importe quel expéditeur.

Cependant, bien que la vulnérabilité ait initialement semblé être un défaut de frappe illimitée, l'impact réel a été limité en raison de la limite de frappe de Noble d'environ 35 millions d'USDC.