Kısa süre önce, çapraz zincir etkileşim protokolü Poly Network ciddi bir güvenlik olayıyla karşılaştı ve bu durum sektörde geniş bir dikkat çekti. Güvenlik ekibinin analizine göre, bu saldırı keeper özel anahtarının sızmasından kaynaklanmamaktadır, aksine saldırganlar akıllı sözleşmedeki bir açığı kullanmıştır.
Saldırı Prensibi
Saldırının temelinde, EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunun _executeCrossChainTx fonksiyonu aracılığıyla belirli bir çapraz zincir işlemini gerçekleştirebilmesidir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin keeper'ını değiştirebilir.
Saldırgan, verifyHeaderAndExecuteTx fonksiyonuna özenle hazırlanmış verileri ileterek _executeCrossChainTx fonksiyonunun keeper'ı değiştirmesine sebep oldu ve bunu saldırganın kontrolündeki bir adrese dönüştürdü. Bu adımı tamamladıktan sonra, saldırgan sözleşmeden istedikleri kadar fon çekmek için istedikleri gibi işlem oluşturma yetisine sahip oldu.
Saldırı Süreci
Saldırgan ilk olarak EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunu çağırarak putCurEpochConPubKeyBytes fonksiyonunu çalıştırdı ve keeper'ı değiştirdi.
Ardından, saldırgan yeni keeper yetkilerini kullanarak birçok saldırı işlemi başlattı ve sözleşmeden büyük miktarda fon çekti.
Keeper değiştirildiği için, diğer kullanıcıların normal işlemleri sistem tarafından reddedildi.
Bu saldırı modeli Ethereum ağı üzerinde benzer işlemler gerçekleştirdi.
Olayın Etkisi
Bu saldırı olayı, çapraz zincir protokollerindeki büyük bir güvenlik açığını ortaya çıkardı. Bu, sadece büyük miktarda fon kaybına yol açmakla kalmadı, aynı zamanda tüm ekosisteminin normal işleyişini de etkiledi. Bu olay, çapraz zincir protokollerinin tasarlanması ve uygulanması sırasında güvenlik ve kod denetiminin önemine özellikle dikkat edilmesi gerektiğini bir kez daha vurguladı.
Güvenlik İpuçları
Akıllı sözleşmelerin yetki yönetimi son derece önemlidir, özellikle de keeper gibi kritik rollerin değiştirme yetkileri söz konusu olduğunda.
Cross-chain işlemlerinin doğrulama mekanizması, kötü niyetli olarak oluşturulmuş işlem verilerini önlemek için daha katı ve kapsamlı olmalıdır.
Sözleşmeler arasındaki karşılıklı çağrılar ve yetki miras alma ilişkileri dikkatlice incelenmeli, beklenmedik yetki artışlarının ortaya çıkması önlenmelidir.
Düzenli güvenlik denetimleri ve açık ödül programları, potansiyel güvenlik sorunlarını erken tespit etmeye yardımcı olabilir.
Güvenlik olayları meydana geldiğinde hızlı bir şekilde yanıt verebilmek ve işlem yapmak için acil durum yanıt mekanizması oluşturun.
Bu olay, tüm blockchain sektörüne bir uyarı niteliği taşıdı ve yenilik ve verimlilik peşinde koşarken güvenlik temeline de dikkat etmemiz gerektiğini hatırlattı. Daha sağlam ve güvenli bir altyapı inşa etmeden, blockchain teknolojisinin geniş çapta uygulanmasını ve uzun vadeli gelişimini gerçekten teşvik edemeyiz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
6
Repost
Share
Comment
0/400
FloorSweeper
· 22h ago
Aman Tanrım, bir başka enayi toplayıcı devrildi.
View OriginalReply0
DoomCanister
· 23h ago
Emiciler Tarafından Oyuna Getirilmek手艺人又来咯
View OriginalReply0
ImpermanentPhilosopher
· 08-14 04:39
Sözleşme yine başına bir iş açtı, bu ilk değil sanırım.
View OriginalReply0
MrDecoder
· 08-14 04:38
Yine bir sözleşme tavası mı? Eski bir sorun.
View OriginalReply0
DeFiGrayling
· 08-14 04:38
Yine çok karanlık, ölüm sarmalı oldu fam.
View OriginalReply0
RadioShackKnight
· 08-14 04:30
Hem acemi hem de oyun oynamayı mı seviyorsun? Bu çok profesyonelce değil.
Poly Network sözleşme açığı Hacker saldırısına uğradı, çok zincirli varlık kaybı büyük.
Poly Network'in Hacker Saldırısı Olayı Analizi
Kısa süre önce, çapraz zincir etkileşim protokolü Poly Network ciddi bir güvenlik olayıyla karşılaştı ve bu durum sektörde geniş bir dikkat çekti. Güvenlik ekibinin analizine göre, bu saldırı keeper özel anahtarının sızmasından kaynaklanmamaktadır, aksine saldırganlar akıllı sözleşmedeki bir açığı kullanmıştır.
Saldırı Prensibi
Saldırının temelinde, EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunun _executeCrossChainTx fonksiyonu aracılığıyla belirli bir çapraz zincir işlemini gerçekleştirebilmesidir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin keeper'ını değiştirebilir.
Saldırgan, verifyHeaderAndExecuteTx fonksiyonuna özenle hazırlanmış verileri ileterek _executeCrossChainTx fonksiyonunun keeper'ı değiştirmesine sebep oldu ve bunu saldırganın kontrolündeki bir adrese dönüştürdü. Bu adımı tamamladıktan sonra, saldırgan sözleşmeden istedikleri kadar fon çekmek için istedikleri gibi işlem oluşturma yetisine sahip oldu.
Saldırı Süreci
Saldırgan ilk olarak EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunu çağırarak putCurEpochConPubKeyBytes fonksiyonunu çalıştırdı ve keeper'ı değiştirdi.
Ardından, saldırgan yeni keeper yetkilerini kullanarak birçok saldırı işlemi başlattı ve sözleşmeden büyük miktarda fon çekti.
Keeper değiştirildiği için, diğer kullanıcıların normal işlemleri sistem tarafından reddedildi.
Bu saldırı modeli Ethereum ağı üzerinde benzer işlemler gerçekleştirdi.
Olayın Etkisi
Bu saldırı olayı, çapraz zincir protokollerindeki büyük bir güvenlik açığını ortaya çıkardı. Bu, sadece büyük miktarda fon kaybına yol açmakla kalmadı, aynı zamanda tüm ekosisteminin normal işleyişini de etkiledi. Bu olay, çapraz zincir protokollerinin tasarlanması ve uygulanması sırasında güvenlik ve kod denetiminin önemine özellikle dikkat edilmesi gerektiğini bir kez daha vurguladı.
Güvenlik İpuçları
Akıllı sözleşmelerin yetki yönetimi son derece önemlidir, özellikle de keeper gibi kritik rollerin değiştirme yetkileri söz konusu olduğunda.
Cross-chain işlemlerinin doğrulama mekanizması, kötü niyetli olarak oluşturulmuş işlem verilerini önlemek için daha katı ve kapsamlı olmalıdır.
Sözleşmeler arasındaki karşılıklı çağrılar ve yetki miras alma ilişkileri dikkatlice incelenmeli, beklenmedik yetki artışlarının ortaya çıkması önlenmelidir.
Düzenli güvenlik denetimleri ve açık ödül programları, potansiyel güvenlik sorunlarını erken tespit etmeye yardımcı olabilir.
Güvenlik olayları meydana geldiğinde hızlı bir şekilde yanıt verebilmek ve işlem yapmak için acil durum yanıt mekanizması oluşturun.
Bu olay, tüm blockchain sektörüne bir uyarı niteliği taşıdı ve yenilik ve verimlilik peşinde koşarken güvenlik temeline de dikkat etmemiz gerektiğini hatırlattı. Daha sağlam ve güvenli bir altyapı inşa etmeden, blockchain teknolojisinin geniş çapta uygulanmasını ve uzun vadeli gelişimini gerçekten teşvik edemeyiz.