Análisis del incidente de ataque de Hacker a Poly Network
Recientemente, el protocolo de interoperabilidad entre cadenas Poly Network fue atacado por un Hacker, lo que generó una amplia atención en la industria. El equipo de seguridad realizó un análisis exhaustivo del incidente, revelando los detalles específicos y el proceso del ataque.
Principio del ataque
El núcleo de este ataque radica en una vulnerabilidad en la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager. El atacante utilizó esta función para introducir datos cuidadosamente elaborados, logrando modificar el keeper del contrato EthCrossChainData a una dirección específica. Esto contradice la narrativa previa sobre la filtración de la clave privada del keeper.
Los atacantes aprovecharon los siguientes puntos clave:
La función verifyHeaderAndExecuteTx del contrato EthCrossChainManager puede ejecutar transacciones cruzadas a través de la función _executeCrossChainTx.
El propietario del contrato EthCrossChainData es el contrato EthCrossChainManager, que puede llamar a la función putCurEpochConPubKeyBytes del primero para modificar el keeper.
El atacante construye datos específicos, a través de la llamada a la función verifyHeaderAndExecuteTx que invoca _executeCrossChainTx, y ejecuta la función putCurEpochConPubKeyBytes, cambiando el keeper a una dirección controlada por el atacante.
Después de completar el reemplazo del keeper, el hacker podrá construir transacciones a su antojo y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
Los ataques ocurren principalmente en las redes de Binance Smart Chain (BSC) y Ethereum, y el proceso es aproximadamente el mismo:
El atacante primero llama a la función putCurEpochConPubKeyBytes a través de la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager, cambiando el keeper.
keeper fue reemplazado, el atacante comenzó a implementar una serie de transacciones de ataque para extraer fondos del contrato.
Después del ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios se revirtieron.
Impacto del evento
Este ataque expuso una importante vulnerabilidad en el diseño de contratos del protocolo Poly Network. Los atacantes lograron eludir los mecanismos de seguridad existentes aprovechando las relaciones de permisos y los mecanismos de llamadas a funciones entre contratos. Este evento resalta nuevamente los desafíos que enfrentan los protocolos de cadena cruzada en términos de seguridad, así como la importancia de la auditoría del código y el diseño seguro.
Revelaciones de seguridad
El diseño del contrato necesita ser más cuidadoso, especialmente en lo que respecta a la gestión de permisos de roles clave (como el keeper).
La seguridad de las llamadas entre contratos debe ser evaluada de manera integral para evitar vulnerabilidades que puedan ser explotadas por atacantes.
Realizar auditorías de seguridad completas de forma regular para detectar y corregir riesgos potenciales a tiempo.
Establecer un mecanismo de verificación múltiple para evitar riesgos sistémicos causados por fallos de un solo punto.
Fortalecer la capacidad de monitoreo en tiempo real y respuesta de emergencia, para poder reaccionar rápidamente y tomar las medidas necesarias en caso de un ataque.
Este evento ha sonado la alarma para toda la industria blockchain, recordando a los desarrolladores y a los proyectos que deben siempre priorizar la seguridad y seguir mejorando y optimizando el diseño de los protocolos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
5
Compartir
Comentar
0/400
AlphaBrain
· 07-31 16:42
¿Vas a jugar con la cadena sin entender bien el contrato?
Ver originalesResponder0
SlowLearnerWang
· 07-31 16:42
Eh, ya es hora de que sume... Solo digo que las vulnerabilidades en los contratos son difíciles de prevenir.
Ver originalesResponder0
SandwichHunter
· 07-31 16:37
Ay, otra vez un fallo en el contrato, no hagas tonterías.
Ver originalesResponder0
BoredWatcher
· 07-31 16:26
¡La diversión de la transferencia de contratos ha vuelto~
Ver originalesResponder0
DegenRecoveryGroup
· 07-31 16:17
¿Quién volvió a romper el contrato? ¿Todavía se puede hackear?
Revelación del ataque de hacker a Poly Network: análisis de la vulnerabilidad del contrato EthCrossChainManager
Análisis del incidente de ataque de Hacker a Poly Network
Recientemente, el protocolo de interoperabilidad entre cadenas Poly Network fue atacado por un Hacker, lo que generó una amplia atención en la industria. El equipo de seguridad realizó un análisis exhaustivo del incidente, revelando los detalles específicos y el proceso del ataque.
Principio del ataque
El núcleo de este ataque radica en una vulnerabilidad en la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager. El atacante utilizó esta función para introducir datos cuidadosamente elaborados, logrando modificar el keeper del contrato EthCrossChainData a una dirección específica. Esto contradice la narrativa previa sobre la filtración de la clave privada del keeper.
Los atacantes aprovecharon los siguientes puntos clave:
La función verifyHeaderAndExecuteTx del contrato EthCrossChainManager puede ejecutar transacciones cruzadas a través de la función _executeCrossChainTx.
El propietario del contrato EthCrossChainData es el contrato EthCrossChainManager, que puede llamar a la función putCurEpochConPubKeyBytes del primero para modificar el keeper.
El atacante construye datos específicos, a través de la llamada a la función verifyHeaderAndExecuteTx que invoca _executeCrossChainTx, y ejecuta la función putCurEpochConPubKeyBytes, cambiando el keeper a una dirección controlada por el atacante.
Después de completar el reemplazo del keeper, el hacker podrá construir transacciones a su antojo y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
Los ataques ocurren principalmente en las redes de Binance Smart Chain (BSC) y Ethereum, y el proceso es aproximadamente el mismo:
El atacante primero llama a la función putCurEpochConPubKeyBytes a través de la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager, cambiando el keeper.
keeper fue reemplazado, el atacante comenzó a implementar una serie de transacciones de ataque para extraer fondos del contrato.
Después del ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios se revirtieron.
Impacto del evento
Este ataque expuso una importante vulnerabilidad en el diseño de contratos del protocolo Poly Network. Los atacantes lograron eludir los mecanismos de seguridad existentes aprovechando las relaciones de permisos y los mecanismos de llamadas a funciones entre contratos. Este evento resalta nuevamente los desafíos que enfrentan los protocolos de cadena cruzada en términos de seguridad, así como la importancia de la auditoría del código y el diseño seguro.
Revelaciones de seguridad
El diseño del contrato necesita ser más cuidadoso, especialmente en lo que respecta a la gestión de permisos de roles clave (como el keeper).
La seguridad de las llamadas entre contratos debe ser evaluada de manera integral para evitar vulnerabilidades que puedan ser explotadas por atacantes.
Realizar auditorías de seguridad completas de forma regular para detectar y corregir riesgos potenciales a tiempo.
Establecer un mecanismo de verificación múltiple para evitar riesgos sistémicos causados por fallos de un solo punto.
Fortalecer la capacidad de monitoreo en tiempo real y respuesta de emergencia, para poder reaccionar rápidamente y tomar las medidas necesarias en caso de un ataque.
Este evento ha sonado la alarma para toda la industria blockchain, recordando a los desarrolladores y a los proyectos que deben siempre priorizar la seguridad y seguir mejorando y optimizando el diseño de los protocolos.