Análise do incidente de ataque do Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network foi alvo de um ataque hacker, gerando ampla atenção. Após análise da equipe de segurança, constatou-se que este ataque não foi devido ao vazamento da chave privada do keeper, mas sim que o atacante, através de dados cuidadosamente elaborados, modificou o keeper do contrato EthCrossChainData para um endereço específico.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar transações específicas de cross-chain através da função _executeCrossChainTx. Como a propriedade do contrato EthCrossChainData pertence ao contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper do contrato.
Processo de Ataque
O atacante utiliza a função verifyHeaderAndExecuteTx, passando dados cuidadosamente projetados.
Execute a chamada da função putCurEpochConPubKeyBytes do contrato EthCrossChainData através da função _executeCrossChainTx.
Sucesso ao alterar o papel de keeper para o endereço especificado pelo atacante.
Após a substituição do keeper, o hacker pode construir transações à vontade, extraindo qualquer quantia de fundos do contrato.
Impacto do ataque
Após o ataque, devido à modificação do keeper, as transações normais de outros usuários foram rejeitadas.
Padrões de ataque semelhantes também foram implementados na rede Ethereum.
Revelações do Evento
É necessário um mecanismo de controle de permissões mais rigoroso no design do contrato.
A execução das funções-chave deve ter múltiplos passos de validação.
É crucial realizar auditorias de segurança e testes de vulnerabilidades regularmente.
A segurança das operações entre cadeias precisa de mais atenção e melhorias.
Este incidente destaca novamente a importância da segurança em blockchain, especialmente em cenários complexos de cross-chain. As equipas de desenvolvimento precisam de aprimorar continuamente as medidas de segurança para enfrentar métodos de ataque cada vez mais complexos. Ao mesmo tempo, os utilizadores também devem aumentar a sua consciência de segurança e participar com cautela em vários projetos de blockchain.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
6
Partilhar
Comentar
0/400
0xSleepDeprived
· 07-31 04:09
Mais uma vez o keeper não foi bloqueado.
Ver originalResponder0
TestnetScholar
· 07-30 22:30
Qual grupo de projeto não fez uma boa auditoria?
Ver originalResponder0
ForkTongue
· 07-28 22:40
Ser enganado por uma empresa é uma operação normal nos dias de hoje, não é?
Ver originalResponder0
SchrodingerAirdrop
· 07-28 15:56
É de novo a culpa do smart contract!
Ver originalResponder0
SybilSlayer
· 07-28 15:54
Velhas armadilhas, em que dia não serei atacado?
Ver originalResponder0
YieldWhisperer
· 07-28 15:41
mais um dia, mais uma exploração... a matemática do contrato do keeper estava errada desde o dia 1
Análise do ataque Hacker da Poly Network: a modificação do keeper levou à perda de fundos
Análise do incidente de ataque do Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network foi alvo de um ataque hacker, gerando ampla atenção. Após análise da equipe de segurança, constatou-se que este ataque não foi devido ao vazamento da chave privada do keeper, mas sim que o atacante, através de dados cuidadosamente elaborados, modificou o keeper do contrato EthCrossChainData para um endereço específico.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar transações específicas de cross-chain através da função _executeCrossChainTx. Como a propriedade do contrato EthCrossChainData pertence ao contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper do contrato.
Processo de Ataque
Impacto do ataque
Revelações do Evento
Este incidente destaca novamente a importância da segurança em blockchain, especialmente em cenários complexos de cross-chain. As equipas de desenvolvimento precisam de aprimorar continuamente as medidas de segurança para enfrentar métodos de ataque cada vez mais complexos. Ao mesmo tempo, os utilizadores também devem aumentar a sua consciência de segurança e participar com cautela em vários projetos de blockchain.