Hey there, fellow crypto enthusiasts! If you're into meme tokens and the wild world of blockchain, you know how crucial cross-chain bridges are for zipping your assets from one network to another. Today, we're talking about a big win for security in this space. Wormhole, the powerhouse interoperability platform, just shared some news via their X post about spotting a serious vulnerability in Relay Protocol. Let's break it down in simple terms and see why this matters, especially if you're trading memes across chains.

Relay Protocolで何が起きたのか？

Relay Protocolは、インテントベースのクロスチェーン・セットアップで、75以上のブロックチェーン間で資産を瞬時にスワップできるクールな仕組みです。これまでに50億ドル以上のボリュームを処理してきました — かなりの量の暗号資産が動いています！しかしどんな技術にも欠陥はあり得ます。彼らの新しいバージョンでは、転送中の資金を扱うためにオンチェーンの「depository contracts」を使っています。一つのチェーンに預けると、別のチェーンでリリースされる仕組みです。

ここで重要なのは、資金をリリースするために、allocatorと呼ばれる信頼されたオフチェーン主体からの署名付きの"TransferRequest"が必要だという点です。この署名はSolanaでよく使われる暗号方式であるEd25519を利用しています。コントラクトはSolanaのネイティブなEd25519プログラムを通じてこの署名を検証します。

しかし問題はここにあります：コントラクトはEd25519の検証自体を信頼していましたが、署名命令内のオフセットを適切に検証していませんでした。オフセットは、プログラムが命令内で署名、公開鍵、メッセージデータをどこで見つけるかを示すポインタのようなものです。これらが正しくチェックされていないと、攻撃者はプログラムがデータを探す場所を操作して署名を偽造できてしまいます。

これにより、潜在的な二重支出攻撃の余地が生まれていました。一度だけ預けたはずの資金がシステムを騙して二度リリースされる——クロスチェーンの流動性にとっては大混乱です！

Wormholeはどのように介入したか

Wormholeの主要なセキュリティ寄稿者であるAsymmetric Researchのチームがこの問題を掘り下げて発見しました。彼らはこの問題をRelay Protocolにプライベートに報告し、Relayは素早くパッチを当てました。資金の喪失はなく、現在は危険は解消されています。関係者全員の適切な対応に拍手を送りたいです。

Asymmetric ResearchのFelix（Xで @_fel1x）が詳細を述べている彼らの詳しいブログ投稿では、技術的な細部が説明されています。例えばTransferRequestの構造体は次のようになっています：

#[derive(AnchorSerialize, AnchorDeserialize, Copy, Clone, PartialEq, Debug)]
pub struct TransferRequest {
pub recipient: Pubkey,
pub token: Option,
pub amount: u64,
pub nonce: u64,
pub expiration: i64,
}

そして検証が署名をチェックするために前の命令を取り出す方法は次のとおりです：

let cur_index: usize = sysvar::instructions::load_current_index_checked(&ctx.accounts.ix_sysvar)?.into();
assert!(cur_index > 0, "cur_index should be greater than 0");

let ed25519_instr_index = cur_index - 1;
let signature_ix = sysvar::instructions::load_instruction_at_checked(
ed25519_instr_index,
&ctx.accounts.ix_sysvar,
)?;

validate_ed25519_signature_instruction(
&signature_ix,
&relay_depository.allocator,
&request,
)?;

Ed25519命令のレイアウトには署名、公開鍵、メッセージのオフセットが含まれます。ネイティブプログラムのロジックはこれらを処理しますが、厳格なオフセット検証がないとバイパスが可能になってしまいます。

ミームトークンファンにとってなぜ重要なのか

ミームトークンはチェーン間のスピードと流動性で繁栄します — 例えばSolanaからEthereumにあなたのDogecoin風トークンを移してホットなNFTドロップに備えるようなケースです。Relayのようなブリッジはこれをシームレスにしますが、この種の脆弱性は信頼を損ない、実際の損失を招く可能性があります。二重支出は流動性プールを枯渇させ、スリッページを急増させ、取引に悪影響を与えます。

今回の件は、セキュリティ監査やWormholeのような目を光らせるチームがいかに重要かを改めて示しています。頻繁に資産をブリッジする人は、プロトコルのニュースに常に注意を払うべきだという教訓でもあります。

まとめ

WormholeとAsymmetric Researchがブロックチェーンエコシステムをより安全に保ってくれたことに感謝します。クロスチェーン技術を構築または利用するなら、常にセキュリティを最優先にしてください — 小さなオフセットのミスが大きな問題につながることがあります。ミームトークンやブロックチェーン技術、賢くこのエキサイティングな領域を航行するための洞察はMeme Insiderで今後もお届けします。

ご意見はありますか？コメントで教えてください、またはXで連絡を！ 🚀