واجهت بروتوكول التشغيل المتداخل عبر السلاسل Poly Network مؤخرًا حدث أمان خطير ، مما أثار اهتمامًا واسعًا في الصناعة. وفقًا لتحليل فريق الأمان ، لم تكن هذه الهجمة نتيجة لتسرب مفتاح keeper الخاص ، بل استغل المهاجمون ثغرة في العقد الذكي.
مبدأ الهجوم
تكمن جوهر الهجوم في أن وظيفة verifyHeaderAndExecuteTx لعقد EthCrossChainManager يمكن أن تنفذ معاملات عبر السلاسل المحددة من خلال وظيفة _executeCrossChainTx. نظرًا لأن مالك عقد EthCrossChainData هو عقد EthCrossChainManager، فإنه يمكن للأخير استدعاء وظيفة putCurEpochConPubKeyBytes للقيام بتعديل على keeper للعقد.
المهاجم قام بتمرير بيانات مُعدة بعناية إلى دالة verifyHeaderAndExecuteTx، مما أدى إلى تنفيذ دالة _executeCrossChainTx عملية تعديل الـ keeper وتغييرها إلى عنوان يتحكم فيه المهاجم. بعد إتمام هذه الخطوة، أصبح بإمكان المهاجم تكوين المعاملات كما يشاء وسحب أي كمية من الأموال من العقد.
عملية الهجوم
المهاجم أولاً من خلال استدعاء دالة verifyHeaderAndExecuteTx لعقد EthCrossChainManager استدعى دالة putCurEpochConPubKeyBytes، وقام بتغيير keeper.
بعد ذلك، استخدم المهاجمون صلاحيات keeper الجديدة لشن العديد من معاملات الهجوم وسحبوا كميات كبيرة من الأموال من العقد.
بسبب تعديل keeper ، تم رفض معاملات المستخدمين الآخرين العادية من قبل النظام.
تم تنفيذ نمط الهجوم هذا أيضًا في شبكة الإيثيريوم.
!
تأثير الحدث
كشفت هذه الحادثة عن ثغرات أمنية كبيرة في بروتوكولات السلاسل المتعددة. لقد أدت ليس فقط إلى خسائر مالية كبيرة، ولكنها أثرت أيضًا على التشغيل الطبيعي للنظام البيئي بأكمله. وتؤكد هذه الحادثة مرة أخرى على أهمية التركيز بشكل خاص على الأمان وتدقيق الشفرات عند تصميم وتنفيذ بروتوكولات السلاسل المتعددة.
إشعار الأمان
إدارة صلاحيات العقود الذكية أمر بالغ الأهمية، خاصةً عندما يتعلق الأمر بتعديل صلاحيات الأدوار الرئيسية مثل keeper.
يجب أن تكون آلية التحقق من العمليات عبر السلاسل أكثر صرامة وشمولية لمنع بيانات المعاملات التي تم إنشاؤها بشكل خبيث.
يجب مراجعة العلاقة بين استدعاءات العقود المتبادلة ووراثة الأذونات بعناية لتجنب حدوث ارتفاع غير متوقع في الأذونات.
إجراء تدقيقات أمنية دورية وبرامج مكافآت الثغرات يمكن أن يساعد في الكشف المبكر عن المشاكل الأمنية المحتملة.
إنشاء آلية استجابة طارئة لكي تتمكن من الاستجابة السريعة ومعالجة الأحداث الأمنية عند حدوثها.
هذه الحادثة كانت بمثابة جرس إنذار لصناعة blockchain بأكملها، تذكرنا أنه يجب علينا، أثناء سعيينا وراء الابتكار والكفاءة، ألا نتجاهل الأمن كأحد الأسس. فقط من خلال بناء بنية تحتية أقوى وأكثر أمانًا يمكننا حقًا دفع الاستخدام الواسع للتكنولوجيا blockchain والتنمية المستدامة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
6
إعادة النشر
مشاركة
تعليق
0/400
FloorSweeper
· منذ 22 س
يا إلهي، آلة حصاد حمقى أخرى انهارت.
شاهد النسخة الأصليةرد0
DoomCanister
· منذ 23 س
يُستغل بغباء.
شاهد النسخة الأصليةرد0
ImpermanentPhilosopher
· 08-14 04:39
لقد حدث خطأ في العقد مرة أخرى، أليس هذه هي المرة الأولى؟
تعرضت ثغرة عقد Poly Network لهجوم هاكر، مما أدى إلى خسائر ضخمة في الأصول متعددة السلاسل.
تحليل حادثة تعرض شبكة Poly لهجوم هاكر
واجهت بروتوكول التشغيل المتداخل عبر السلاسل Poly Network مؤخرًا حدث أمان خطير ، مما أثار اهتمامًا واسعًا في الصناعة. وفقًا لتحليل فريق الأمان ، لم تكن هذه الهجمة نتيجة لتسرب مفتاح keeper الخاص ، بل استغل المهاجمون ثغرة في العقد الذكي.
مبدأ الهجوم
تكمن جوهر الهجوم في أن وظيفة verifyHeaderAndExecuteTx لعقد EthCrossChainManager يمكن أن تنفذ معاملات عبر السلاسل المحددة من خلال وظيفة _executeCrossChainTx. نظرًا لأن مالك عقد EthCrossChainData هو عقد EthCrossChainManager، فإنه يمكن للأخير استدعاء وظيفة putCurEpochConPubKeyBytes للقيام بتعديل على keeper للعقد.
المهاجم قام بتمرير بيانات مُعدة بعناية إلى دالة verifyHeaderAndExecuteTx، مما أدى إلى تنفيذ دالة _executeCrossChainTx عملية تعديل الـ keeper وتغييرها إلى عنوان يتحكم فيه المهاجم. بعد إتمام هذه الخطوة، أصبح بإمكان المهاجم تكوين المعاملات كما يشاء وسحب أي كمية من الأموال من العقد.
عملية الهجوم
المهاجم أولاً من خلال استدعاء دالة verifyHeaderAndExecuteTx لعقد EthCrossChainManager استدعى دالة putCurEpochConPubKeyBytes، وقام بتغيير keeper.
بعد ذلك، استخدم المهاجمون صلاحيات keeper الجديدة لشن العديد من معاملات الهجوم وسحبوا كميات كبيرة من الأموال من العقد.
بسبب تعديل keeper ، تم رفض معاملات المستخدمين الآخرين العادية من قبل النظام.
تم تنفيذ نمط الهجوم هذا أيضًا في شبكة الإيثيريوم.
!
تأثير الحدث
كشفت هذه الحادثة عن ثغرات أمنية كبيرة في بروتوكولات السلاسل المتعددة. لقد أدت ليس فقط إلى خسائر مالية كبيرة، ولكنها أثرت أيضًا على التشغيل الطبيعي للنظام البيئي بأكمله. وتؤكد هذه الحادثة مرة أخرى على أهمية التركيز بشكل خاص على الأمان وتدقيق الشفرات عند تصميم وتنفيذ بروتوكولات السلاسل المتعددة.
إشعار الأمان
إدارة صلاحيات العقود الذكية أمر بالغ الأهمية، خاصةً عندما يتعلق الأمر بتعديل صلاحيات الأدوار الرئيسية مثل keeper.
يجب أن تكون آلية التحقق من العمليات عبر السلاسل أكثر صرامة وشمولية لمنع بيانات المعاملات التي تم إنشاؤها بشكل خبيث.
يجب مراجعة العلاقة بين استدعاءات العقود المتبادلة ووراثة الأذونات بعناية لتجنب حدوث ارتفاع غير متوقع في الأذونات.
إجراء تدقيقات أمنية دورية وبرامج مكافآت الثغرات يمكن أن يساعد في الكشف المبكر عن المشاكل الأمنية المحتملة.
إنشاء آلية استجابة طارئة لكي تتمكن من الاستجابة السريعة ومعالجة الأحداث الأمنية عند حدوثها.
هذه الحادثة كانت بمثابة جرس إنذار لصناعة blockchain بأكملها، تذكرنا أنه يجب علينا، أثناء سعيينا وراء الابتكار والكفاءة، ألا نتجاهل الأمن كأحد الأسس. فقط من خلال بناء بنية تحتية أقوى وأكثر أمانًا يمكننا حقًا دفع الاستخدام الواسع للتكنولوجيا blockchain والتنمية المستدامة.