Межсетевой протокол межцепочечной интероперабельности Poly Network недавно столкнулся с серьезным инцидентом безопасности, который вызвал широкий интерес в отрасли. Согласно анализу команды безопасности, эта атака не была вызвана утечкой приватного ключа keeper, а злоумышленники воспользовались уязвимостью в смарт-контракте.
Принципы атаки
Суть атаки заключается в том, что функция verifyHeaderAndExecuteTx контракта EthCrossChainManager может выполнять определенные кросс-цепочные транзакции через функцию _executeCrossChainTx. Поскольку владельцем контракта EthCrossChainData является контракт EthCrossChainManager, последний может вызывать функцию putCurEpochConPubKeyBytes первого контракта для изменения хранителя контракта.
Атакующий передал в функцию verifyHeaderAndExecuteTx тщательно сконструированные данные, что привело к выполнению функции _executeCrossChainTx, изменяющей keeper на адрес, контролируемый атакующим. Завершив этот шаг, атакующий смог произвольно конструировать транзакции и извлекать произвольные суммы средств из контракта.
Процесс атаки
Атакующий сначала вызвал функцию putCurEpochConPubKeyBytes через функцию verifyHeaderAndExecuteTx контракта EthCrossChainManager, изменив keeper.
Затем злоумышленник воспользовался новыми правами keeper и инициировал несколько атакующих транзакций, выведя из контракта значительные суммы денег.
Из-за изменения keeper, нормальные транзакции других пользователей были впоследствии отклонены системой.
Эта модель атаки также была реализована в сети Эфириум.
!
Влияние события
Эта атака выявила重大安全ные уязвимости в кросс-чейн протоколах. Она не только привела к значительным финансовым потерям, но и повлияла на нормальное функционирование всей экосистемы. Это событие вновь подчеркивает важность обеспечения безопасности и аудита кода при проектировании и реализации кросс-чейн протоколов.
Безопасные подсказки
Управление правами доступа в смарт-контрактах имеет решающее значение, особенно когда речь идет о правах на изменения для ключевых ролей, таких как keeper.
Механизм верификации межцепочечных операций должен быть более строгим и полным, чтобы предотвратить злонамеренно созданные данные о транзакциях.
Взаимные вызовы контрактов и отношения наследования прав должны быть тщательно проверены, чтобы избежать неожиданных повышений прав.
Регулярные безопасности аудиты и программы вознаграждения за уязвимости могут помочь рано выявить потенциальные проблемы безопасности.
Создание механизма реагирования на чрезвычайные ситуации, чтобы можно было быстро реагировать и устранять последствия в случае возникновения инцидента безопасности.
Этот инцидент стал тревожным сигналом для всей индустрии блокчейна, напоминая нам о том, что при стремлении к инновациям и эффективности нельзя забывать о безопасности как об основополагающем элементе. Только построив более надежную и безопасную инфраструктуру, мы сможем действительно продвинуть широкое применение и долгосрочное развитие технологий блокчейна.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
6
Репост
Поделиться
комментарий
0/400
FloorSweeper
· 08-16 18:38
Боже мой, еще один неудачник разыгрывайте людей как лохов.
Посмотреть ОригиналОтветить0
DoomCanister
· 08-16 17:35
Будут играть для лохов手艺人又来咯
Посмотреть ОригиналОтветить0
ImpermanentPhilosopher
· 08-14 04:39
С контрактом снова проблемы. Это не в первый раз, верно?
Посмотреть ОригиналОтветить0
MrDecoder
· 08-14 04:38
Снова контрактная проблема? Старая проблема.
Посмотреть ОригиналОтветить0
DeFiGrayling
· 08-14 04:38
Опять черно и черно, спираль смерти для семьи
Посмотреть ОригиналОтветить0
RadioShackKnight
· 08-14 04:30
Ты и правда такой неловкий и любишь играть? Это совсем непрофессионально.
Уязвимость контракта Poly Network была атакована Хакером, и потери многоцепочечных активов оказались огромными.
Анализ инцидента с атакой на Poly Network
Межсетевой протокол межцепочечной интероперабельности Poly Network недавно столкнулся с серьезным инцидентом безопасности, который вызвал широкий интерес в отрасли. Согласно анализу команды безопасности, эта атака не была вызвана утечкой приватного ключа keeper, а злоумышленники воспользовались уязвимостью в смарт-контракте.
Принципы атаки
Суть атаки заключается в том, что функция verifyHeaderAndExecuteTx контракта EthCrossChainManager может выполнять определенные кросс-цепочные транзакции через функцию _executeCrossChainTx. Поскольку владельцем контракта EthCrossChainData является контракт EthCrossChainManager, последний может вызывать функцию putCurEpochConPubKeyBytes первого контракта для изменения хранителя контракта.
Атакующий передал в функцию verifyHeaderAndExecuteTx тщательно сконструированные данные, что привело к выполнению функции _executeCrossChainTx, изменяющей keeper на адрес, контролируемый атакующим. Завершив этот шаг, атакующий смог произвольно конструировать транзакции и извлекать произвольные суммы средств из контракта.
Процесс атаки
Атакующий сначала вызвал функцию putCurEpochConPubKeyBytes через функцию verifyHeaderAndExecuteTx контракта EthCrossChainManager, изменив keeper.
Затем злоумышленник воспользовался новыми правами keeper и инициировал несколько атакующих транзакций, выведя из контракта значительные суммы денег.
Из-за изменения keeper, нормальные транзакции других пользователей были впоследствии отклонены системой.
Эта модель атаки также была реализована в сети Эфириум.
!
Влияние события
Эта атака выявила重大安全ные уязвимости в кросс-чейн протоколах. Она не только привела к значительным финансовым потерям, но и повлияла на нормальное функционирование всей экосистемы. Это событие вновь подчеркивает важность обеспечения безопасности и аудита кода при проектировании и реализации кросс-чейн протоколов.
Безопасные подсказки
Управление правами доступа в смарт-контрактах имеет решающее значение, особенно когда речь идет о правах на изменения для ключевых ролей, таких как keeper.
Механизм верификации межцепочечных операций должен быть более строгим и полным, чтобы предотвратить злонамеренно созданные данные о транзакциях.
Взаимные вызовы контрактов и отношения наследования прав должны быть тщательно проверены, чтобы избежать неожиданных повышений прав.
Регулярные безопасности аудиты и программы вознаграждения за уязвимости могут помочь рано выявить потенциальные проблемы безопасности.
Создание механизма реагирования на чрезвычайные ситуации, чтобы можно было быстро реагировать и устранять последствия в случае возникновения инцидента безопасности.
Этот инцидент стал тревожным сигналом для всей индустрии блокчейна, напоминая нам о том, что при стремлении к инновациям и эффективности нельзя забывать о безопасности как об основополагающем элементе. Только построив более надежную и безопасную инфраструктуру, мы сможем действительно продвинуть широкое применение и долгосрочное развитие технологий блокчейна.