Analisis Insiden Serangan Hacker pada Poly Network
Belakangan ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, yang memicu perhatian luas di industri. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan rincian dan proses serangan secara spesifik.
Prinsip Serangan
Inti dari serangan kali ini terletak pada kerentanan fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Penyerang berhasil mengubah keeper kontrak EthCrossChainData menjadi alamat yang ditentukan dengan memasukkan data yang telah disusun dengan cermat melalui fungsi tersebut. Ini bertentangan dengan klaim sebelumnya tentang kebocoran kunci privat keeper.
Penyerang memanfaatkan poin kunci berikut:
Fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang membangun data tertentu, melalui pemanggilan fungsi verifyHeaderAndExecuteTx _executeCrossChainTx, kemudian mengeksekusi fungsi putCurEpochConPubKeyBytes, mengubah keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah menyelesaikan penggantian keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang diinginkan dari kontrak.
Proses Serangan
Serangan terutama terjadi di dua jaringan, yaitu Binance Smart Chain (BSC) dan Ethereum, dengan proses yang kira-kira sama:
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
keeper yang digantikan, penyerang mulai melakukan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain dibatalkan.
Dampak Peristiwa
Serangan ini mengungkapkan kerentanan besar dalam desain kontrak dari protokol Poly Network. Penyerang berhasil menghindari mekanisme keamanan yang ada dengan memanfaatkan hubungan izin antar kontrak dan mekanisme pemanggilan fungsi. Peristiwa ini sekali lagi menyoroti tantangan yang dihadapi protokol lintas rantai dalam hal keamanan, serta pentingnya audit kode dan desain keamanan.
Petunjuk Keamanan
Desain kontrak perlu lebih hati-hati, terutama yang melibatkan manajemen izin untuk peran kunci (seperti keeper).
Keamanan pemanggilan lintas kontrak perlu dievaluasi secara menyeluruh untuk menghindari adanya celah yang dapat dimanfaatkan oleh penyerang.
Melakukan audit keamanan menyeluruh secara berkala untuk mendeteksi dan memperbaiki risiko potensial tepat waktu.
Membangun mekanisme verifikasi ganda untuk menghindari risiko sistemik yang disebabkan oleh kegagalan titik tunggal.
Meningkatkan pemantauan real-time dan kemampuan respons darurat, agar dapat merespons dengan cepat dan mengambil tindakan yang diperlukan saat serangan terjadi.
Kejadian kali ini telah membangunkan seluruh industri blockchain, mengingatkan para pengembang dan pihak proyek untuk selalu mengutamakan keamanan, serta terus memperbaiki dan mengoptimalkan desain protokol.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
17 Suka
Hadiah
17
5
Bagikan
Komentar
0/400
AlphaBrain
· 07-31 16:42
Kontrak belum jelas lalu bermain di blockchain?
Lihat AsliBalas0
SlowLearnerWang
· 07-31 16:42
Eh, sudah waktunya saya get on board lagi... Saya bilang, celah kontrak tidak bisa dihindari.
Lihat AsliBalas0
SandwichHunter
· 07-31 16:37
Eh, ada celah kontrak lagi. Jangan main-main.
Lihat AsliBalas0
BoredWatcher
· 07-31 16:26
Kesenangan transfer kontrak datang lagi~
Lihat AsliBalas0
DegenRecoveryGroup
· 07-31 16:17
Siapa yang meledakkan kontraknya lagi? Masih bisa dikhianati?
Mengungkap Insiden Serangan Hacker Poly Network: Analisis Kerentanan Kontrak EthCrossChainManager
Analisis Insiden Serangan Hacker pada Poly Network
Belakangan ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, yang memicu perhatian luas di industri. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan rincian dan proses serangan secara spesifik.
Prinsip Serangan
Inti dari serangan kali ini terletak pada kerentanan fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Penyerang berhasil mengubah keeper kontrak EthCrossChainData menjadi alamat yang ditentukan dengan memasukkan data yang telah disusun dengan cermat melalui fungsi tersebut. Ini bertentangan dengan klaim sebelumnya tentang kebocoran kunci privat keeper.
Penyerang memanfaatkan poin kunci berikut:
Fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang membangun data tertentu, melalui pemanggilan fungsi verifyHeaderAndExecuteTx _executeCrossChainTx, kemudian mengeksekusi fungsi putCurEpochConPubKeyBytes, mengubah keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah menyelesaikan penggantian keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang diinginkan dari kontrak.
Proses Serangan
Serangan terutama terjadi di dua jaringan, yaitu Binance Smart Chain (BSC) dan Ethereum, dengan proses yang kira-kira sama:
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
keeper yang digantikan, penyerang mulai melakukan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain dibatalkan.
Dampak Peristiwa
Serangan ini mengungkapkan kerentanan besar dalam desain kontrak dari protokol Poly Network. Penyerang berhasil menghindari mekanisme keamanan yang ada dengan memanfaatkan hubungan izin antar kontrak dan mekanisme pemanggilan fungsi. Peristiwa ini sekali lagi menyoroti tantangan yang dihadapi protokol lintas rantai dalam hal keamanan, serta pentingnya audit kode dan desain keamanan.
Petunjuk Keamanan
Desain kontrak perlu lebih hati-hati, terutama yang melibatkan manajemen izin untuk peran kunci (seperti keeper).
Keamanan pemanggilan lintas kontrak perlu dievaluasi secara menyeluruh untuk menghindari adanya celah yang dapat dimanfaatkan oleh penyerang.
Melakukan audit keamanan menyeluruh secara berkala untuk mendeteksi dan memperbaiki risiko potensial tepat waktu.
Membangun mekanisme verifikasi ganda untuk menghindari risiko sistemik yang disebabkan oleh kegagalan titik tunggal.
Meningkatkan pemantauan real-time dan kemampuan respons darurat, agar dapat merespons dengan cepat dan mengambil tindakan yang diperlukan saat serangan terjadi.
Kejadian kali ini telah membangunkan seluruh industri blockchain, mengingatkan para pengembang dan pihak proyek untuk selalu mengutamakan keamanan, serta terus memperbaiki dan mengoptimalkan desain protokol.