Gần đây, giao thức tương tác chuỗi chéo Poly Network đã bị tấn công bởi hacker, gây ra sự chú ý rộng rãi. Qua phân tích của đội ngũ an ninh, cuộc tấn công này không phải do rò rỉ khóa riêng của keeper, mà là kẻ tấn công đã sử dụng dữ liệu được cấu trúc một cách tinh vi, thay đổi keeper của hợp đồng EthCrossChainData thành địa chỉ chỉ định.
Tấn công lõi
Chìa khóa của cuộc tấn công nằm ở hàm verifyHeaderAndExecuteTx trong hợp đồng EthCrossChainManager. Hàm này có thể thực hiện giao dịch xuyên chuỗi cụ thể thông qua hàm _executeCrossChainTx. Do quyền sở hữu hợp đồng EthCrossChainData thuộc về hợp đồng EthCrossChainManager, hợp đồng sau có thể gọi hàm putCurEpochConPubKeyBytes của hợp đồng trước để sửa đổi keeper của hợp đồng.
Quá trình tấn công
Kẻ tấn công sử dụng hàm verifyHeaderAndExecuteTx, truyền vào dữ liệu được thiết kế tỉ mỉ.
Thực hiện gọi hàm putCurEpochConPubKeyBytes của hợp đồng EthCrossChainData thông qua hàm _executeCrossChainTx.
Thành công thay đổi vai trò keeper thành địa chỉ do kẻ tấn công chỉ định.
Sau khi hoàn thành việc thay thế keeper, kẻ tấn công có thể tự do tạo ra giao dịch, rút bất kỳ số tiền nào từ hợp đồng.
Ảnh hưởng của cuộc tấn công
Sau khi cuộc tấn công hoàn thành, do keeper bị thay đổi, dẫn đến việc các giao dịch bình thường của người dùng khác bị từ chối thực hiện.
Các mô hình tấn công tương tự cũng đã được thực hiện trên mạng Ethereum.
Gợi Ý Sự Kiện
Cần có cơ chế kiểm soát quyền hạn nghiêm ngặt hơn trong thiết kế hợp đồng.
Việc thực thi các chức năng quan trọng nên có nhiều bước xác thực.
Việc tiến hành kiểm toán an ninh và phát hiện lỗ hổng định kỳ là rất quan trọng.
An toàn của các hoạt động xuyên chuỗi cần được chú ý và cải tiến nhiều hơn.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của an ninh blockchain, đặc biệt là trong các kịch bản đa chuỗi phức tạp. Nhóm phát triển cần liên tục hoàn thiện các biện pháp an ninh để đối phó với các phương thức tấn công ngày càng phức tạp. Đồng thời, người dùng cũng nên nâng cao nhận thức về an ninh, tham gia một cách thận trọng vào các dự án blockchain khác nhau.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Chia sẻ
Bình luận
0/400
0xSleepDeprived
· 07-31 04:09
Lại là keeper chưa khóa
Xem bản gốcTrả lời0
TestnetScholar
· 07-30 22:30
Nhóm dự án nào không thực hiện tốt việc kiểm toán vậy?
Xem bản gốcTrả lời0
ForkTongue
· 07-28 22:40
Lại bị đen một nhà, giờ đây bị đen mới là thao tác bình thường nhỉ.
Xem bản gốcTrả lời0
SchrodingerAirdrop
· 07-28 15:56
Lại là lỗi của hợp đồng thông minh rồi.
Xem bản gốcTrả lời0
SybilSlayer
· 07-28 15:54
Cũ rồi, ngày nào không bị đen.
Xem bản gốcTrả lời0
YieldWhisperer
· 07-28 15:41
một ngày nữa, một lỗ hổng nữa... toán hợp đồng keeper đã sai từ ngày đầu tiên
Phân tích sự kiện tấn công của Hacker Poly Network: keeper bị thay đổi dẫn đến mất tiền.
Phân tích sự kiện Poly Network bị Hacker tấn công
Gần đây, giao thức tương tác chuỗi chéo Poly Network đã bị tấn công bởi hacker, gây ra sự chú ý rộng rãi. Qua phân tích của đội ngũ an ninh, cuộc tấn công này không phải do rò rỉ khóa riêng của keeper, mà là kẻ tấn công đã sử dụng dữ liệu được cấu trúc một cách tinh vi, thay đổi keeper của hợp đồng EthCrossChainData thành địa chỉ chỉ định.
Tấn công lõi
Chìa khóa của cuộc tấn công nằm ở hàm verifyHeaderAndExecuteTx trong hợp đồng EthCrossChainManager. Hàm này có thể thực hiện giao dịch xuyên chuỗi cụ thể thông qua hàm _executeCrossChainTx. Do quyền sở hữu hợp đồng EthCrossChainData thuộc về hợp đồng EthCrossChainManager, hợp đồng sau có thể gọi hàm putCurEpochConPubKeyBytes của hợp đồng trước để sửa đổi keeper của hợp đồng.
Quá trình tấn công
Ảnh hưởng của cuộc tấn công
Gợi Ý Sự Kiện
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của an ninh blockchain, đặc biệt là trong các kịch bản đa chuỗi phức tạp. Nhóm phát triển cần liên tục hoàn thiện các biện pháp an ninh để đối phó với các phương thức tấn công ngày càng phức tạp. Đồng thời, người dùng cũng nên nâng cao nhận thức về an ninh, tham gia một cách thận trọng vào các dự án blockchain khác nhau.