مؤخراً، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network لهجوم هاكر، مما أثار اهتمامًا واسعًا في الصناعة. قامت فرق من خبراء الأمان بتحليل عميق لهذا الحدث، واعتبرت أن المهاجمين لم ينفذوا الهجوم من خلال تسريب المفتاح الخاص، بل استخدموا ثغرات في العقد لتعديل المعلمات الأساسية.
هجوم جوهري
تكمن أهمية الهجوم في دالة verifyHeaderAndExecuteTx داخل عقد EthCrossChainManager. يمكن تنفيذ المعاملات عبر السلاسل المحددة من خلال دالة _executeCrossChainTx. نظرًا لأن مالك عقد EthCrossChainData هو عقد EthCrossChainManager، فإن الأخير لديه الحق في استدعاء دالة putCurEpochConPubKeyBytes لعقد EthCrossChainData لتغيير keeper للعقد.
عملية الهجوم
المهاجم يستخدم دالة verifyHeaderAndExecuteTx، مدخلاً بيانات مصممة بعناية.
هذه البيانات تُشغّل دالة _executeCrossChainTx، وتستدعي دالة putCurEpochConPubKeyBytes لعقد EthCrossChainData.
ستقوم هذه العملية بتغيير دور الحافظ إلى العنوان المحدد من قبل المهاجم.
بعد الانتهاء من استبدال keeper، يمكن للمهاجم إنشاء معاملات وسحب أي مبلغ من الأموال من العقد.
تأثير الهجوم
بعد حدوث الهجوم، أدى تعديل الـ keeper إلى رفض تنفيذ المعاملات العادية لمستخدمين آخرين. لم يؤثر هذه المشكلة فقط على شبكة BSC، بل ظهرت نمط هجوم مشابه أيضًا على شبكة الإيثيريوم.
تأملات الحدث
كشفت هذه الحادثة عن المخاطر المحتملة في تصميم العقود الذكية. النقطة الأساسية هي أن المتعهد في عقد EthCrossChainData يمكن تعديله بواسطة عقد EthCrossChainManager، والذي يسمح بدوره بتنفيذ البيانات المدخلة من قبل المستخدم. يوفر هذا التصميم فرصة للمهاجمين.
في المستقبل، يجب أن تكون المشاريع المماثلة أكثر حذرًا عند تصميم آليات التفاعل عبر السلاسل، مع الأخذ في الاعتبار مسائل إدارة الأذونات والتحقق من البيانات. تعزيز العزل الأمني بين العقود، وتقييد شروط تنفيذ العمليات الحساسة، كلها اتجاهات تحسين تستحق النظر.
هذه الهجمة تذكّرنا مرة أخرى بأن الأمان دائمًا هو العامل الأول الذي يجب أخذه في الاعتبار في بيئة البلوك تشين. إن تحسين آليات التدقيق الأمني وتقييم المخاطر باستمرار أمر بالغ الأهمية للحفاظ على التطور الصحي للنظام البيئي بأسره.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
5
إعادة النشر
مشاركة
تعليق
0/400
MemecoinTrader
· منذ 21 س
استغلال الهواة أصبح موضة عام 2021... الألفا الحقيقي هو في تحكيم مشاعر المجتمع الآن
كشف هجوم هاكر شبكة بولي: ثغرة في العقد أدت إلى تعديل keeper
تحليل حادثة هجوم هاكر على شبكة بولي
مؤخراً، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network لهجوم هاكر، مما أثار اهتمامًا واسعًا في الصناعة. قامت فرق من خبراء الأمان بتحليل عميق لهذا الحدث، واعتبرت أن المهاجمين لم ينفذوا الهجوم من خلال تسريب المفتاح الخاص، بل استخدموا ثغرات في العقد لتعديل المعلمات الأساسية.
هجوم جوهري
تكمن أهمية الهجوم في دالة verifyHeaderAndExecuteTx داخل عقد EthCrossChainManager. يمكن تنفيذ المعاملات عبر السلاسل المحددة من خلال دالة _executeCrossChainTx. نظرًا لأن مالك عقد EthCrossChainData هو عقد EthCrossChainManager، فإن الأخير لديه الحق في استدعاء دالة putCurEpochConPubKeyBytes لعقد EthCrossChainData لتغيير keeper للعقد.
عملية الهجوم
المهاجم يستخدم دالة verifyHeaderAndExecuteTx، مدخلاً بيانات مصممة بعناية.
هذه البيانات تُشغّل دالة _executeCrossChainTx، وتستدعي دالة putCurEpochConPubKeyBytes لعقد EthCrossChainData.
ستقوم هذه العملية بتغيير دور الحافظ إلى العنوان المحدد من قبل المهاجم.
بعد الانتهاء من استبدال keeper، يمكن للمهاجم إنشاء معاملات وسحب أي مبلغ من الأموال من العقد.
تأثير الهجوم
بعد حدوث الهجوم، أدى تعديل الـ keeper إلى رفض تنفيذ المعاملات العادية لمستخدمين آخرين. لم يؤثر هذه المشكلة فقط على شبكة BSC، بل ظهرت نمط هجوم مشابه أيضًا على شبكة الإيثيريوم.
تأملات الحدث
كشفت هذه الحادثة عن المخاطر المحتملة في تصميم العقود الذكية. النقطة الأساسية هي أن المتعهد في عقد EthCrossChainData يمكن تعديله بواسطة عقد EthCrossChainManager، والذي يسمح بدوره بتنفيذ البيانات المدخلة من قبل المستخدم. يوفر هذا التصميم فرصة للمهاجمين.
في المستقبل، يجب أن تكون المشاريع المماثلة أكثر حذرًا عند تصميم آليات التفاعل عبر السلاسل، مع الأخذ في الاعتبار مسائل إدارة الأذونات والتحقق من البيانات. تعزيز العزل الأمني بين العقود، وتقييد شروط تنفيذ العمليات الحساسة، كلها اتجاهات تحسين تستحق النظر.
هذه الهجمة تذكّرنا مرة أخرى بأن الأمان دائمًا هو العامل الأول الذي يجب أخذه في الاعتبار في بيئة البلوك تشين. إن تحسين آليات التدقيق الأمني وتقييم المخاطر باستمرار أمر بالغ الأهمية للحفاظ على التطور الصحي للنظام البيئي بأسره.
!