Son günlerde, çoklu zincir etkileşim protokolü Poly Network, bir Hacker saldırısına uğradı ve geniş bir ilgi uyandırdı. Güvenlik ekiplerinin analizine göre, bu saldırı keeper özel anahtarının sızması nedeniyle gerçekleşmedi, aksine saldırgan, ustaca hazırlanmış veriler aracılığıyla EthCrossChainData sözleşmesinin keeper'ını belirli bir adrese değiştirdi.
Saldırı Çekirdek
Saldırının anahtarı EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonundadır. Bu fonksiyon, belirli bir çapraz zincir işlemini gerçekleştirmek için _executeCrossChainTx fonksiyonunu kullanabilir. EthCrossChainData sözleşmesinin sahipliği EthCrossChainManager sözleşmesine ait olduğundan, bu sonuncusu öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin koruyucusunu değiştirebilir.
_executeCrossChainTx fonksiyonu aracılığıyla EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyon çağrısını gerçekleştirin.
Keeper rolünün saldırgan tarafından belirtilen adrese başarıyla değiştirildi.
Keeper değişikliği tamamlandıktan sonra, saldırgan istediği gibi işlem oluşturabilir ve sözleşmeden istedikleri miktarda fon çekebilir.
Saldırı Etkisi
Saldırı tamamlandıktan sonra, keeper değiştirildiği için diğer kullanıcıların normal işlemleri reddedildi.
Benzer saldırı modelleri Ethereum ağı üzerinde de uygulanmaktadır.
Olayların İpuçları
Sözleşme tasarımında daha sıkı bir yetki kontrol mekanizması gerekmektedir.
Anahtar fonksiyonların yürütülmesi birden fazla doğrulama adımına sahip olmalıdır.
Güvenlik denetimleri ve zafiyet testleri düzenli olarak yapılmalıdır.
Çapraz zincir işlemlerinin güvenliği daha fazla dikkate alınmalı ve iyileştirilmelidir.
Bu olay, özellikle karmaşık çapraz zincir senaryolarında, blok zinciri güvenliğinin önemini bir kez daha vurguladı. Geliştirme ekipleri, giderek karmaşıklaşan saldırı yöntemlerine karşı koymak için güvenlik önlemlerini sürekli olarak geliştirmelidir. Aynı zamanda, kullanıcılar da güvenlik bilincini artırmalı ve çeşitli blok zinciri projelerine katılırken dikkatli olmalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
6
Share
Comment
0/400
0xSleepDeprived
· 07-31 04:09
Yine keeper kilitlenmedi.
View OriginalReply0
TestnetScholar
· 07-30 22:30
Hangi proje grubu denetimi düzgün yapmadı?
View OriginalReply0
ForkTongue
· 07-28 22:40
Yine bir kara liste. Bu devirde karalanmak normal bir işlem değil mi?
View OriginalReply0
SchrodingerAirdrop
· 07-28 15:56
Yine akıllı sözleşmenin suçu!
View OriginalReply0
SybilSlayer
· 07-28 15:54
Eski tuzaklar, hangi gün karanlığa sürüklenmeyeceğiz.
View OriginalReply0
YieldWhisperer
· 07-28 15:41
başka bir gün, başka bir istismar... keeper sözleşmesi matematiği ilk günden yanlıştı
Poly Network Hacker saldırısı olayı analizi: keeper'ın değiştirilmesi nedeniyle fon kaybı
Poly Network'in Hacker Saldırısı Olayı Analizi
Son günlerde, çoklu zincir etkileşim protokolü Poly Network, bir Hacker saldırısına uğradı ve geniş bir ilgi uyandırdı. Güvenlik ekiplerinin analizine göre, bu saldırı keeper özel anahtarının sızması nedeniyle gerçekleşmedi, aksine saldırgan, ustaca hazırlanmış veriler aracılığıyla EthCrossChainData sözleşmesinin keeper'ını belirli bir adrese değiştirdi.
Saldırı Çekirdek
Saldırının anahtarı EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonundadır. Bu fonksiyon, belirli bir çapraz zincir işlemini gerçekleştirmek için _executeCrossChainTx fonksiyonunu kullanabilir. EthCrossChainData sözleşmesinin sahipliği EthCrossChainManager sözleşmesine ait olduğundan, bu sonuncusu öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin koruyucusunu değiştirebilir.
Saldırı Süreci
Saldırı Etkisi
Olayların İpuçları
Bu olay, özellikle karmaşık çapraz zincir senaryolarında, blok zinciri güvenliğinin önemini bir kez daha vurguladı. Geliştirme ekipleri, giderek karmaşıklaşan saldırı yöntemlerine karşı koymak için güvenlik önlemlerini sürekli olarak geliştirmelidir. Aynı zamanda, kullanıcılar da güvenlik bilincini artırmalı ve çeşitli blok zinciri projelerine katılırken dikkatli olmalıdır.