Análise do incidente de ataque do Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, atraindo ampla atenção da indústria. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes e o processo específico do ataque.
Princípios do Ataque
O cerne do ataque reside na vulnerabilidade da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. O atacante conseguiu modificar o keeper do contrato EthCrossChainData para um endereço específico, passando dados cuidadosamente elaborados por meio dessa função. Isso contrasta com a alegação anterior de que a chave privada do keeper havia sido vazada.
Os atacantes exploraram os seguintes pontos-chave:
A função verifyHeaderAndExecuteTx do contrato EthCrossChainManager pode executar transações cross-chain através da função _executeCrossChainTx.
O proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, que pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper.
O atacante constrói dados específicos e, através da chamada da função verifyHeaderAndExecuteTx, invoca a função _executeCrossChainTx, que por sua vez executa a função putCurEpochConPubKeyBytes, mudando o keeper para um endereço controlado pelo atacante.
Após a substituição do keeper, o hacker pode construir transações à vontade e retirar qualquer quantia de fundos do contrato.
Processo de Ataque
Os ataques ocorreram principalmente nas redes Binance Smart Chain (BSC) e Ethereum, e o processo é basicamente o mesmo:
O atacante primeiro chama a função putCurEpochConPubKeyBytes através da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, alterando o keeper.
O keeper sendo substituído, o atacante começa a implementar uma série de transações de ataque, extraindo fundos do contrato.
Após o ataque, devido à modificação do keeper, as transações normais de outros usuários foram revertidas.
Impacto do Evento
Este ataque expôs uma grave vulnerabilidade no design dos contratos do protocolo Poly Network. O hacker conseguiu contornar os mecanismos de segurança existentes ao explorar as relações de permissão e o mecanismo de chamada de funções entre os contratos. Este evento destaca novamente os desafios de segurança enfrentados pelos protocolos de cadeia cruzada, bem como a importância da auditoria de código e do design seguro.
Revelações de Segurança
O design do contrato precisa ser mais cauteloso, especialmente no que diz respeito à gestão de permissões de papéis-chave (como o keeper).
A segurança das chamadas entre contratos deve ser avaliada de forma abrangente, evitando a出现 de vulnerabilidades que possam ser exploradas por atacantes.
Realizar auditorias de segurança abrangentes regularmente, detectando e corrigindo riscos potenciais em tempo hábil.
Estabelecer um mecanismo de múltiplas verificações para evitar riscos sistêmicos causados por falhas de ponto único.
Reforçar a monitorização em tempo real e a capacidade de resposta a emergências, para que se possa reagir rapidamente e tomar as medidas necessárias quando ocorrer um ataque.
Este evento soou o alarme para toda a indústria de blockchain, lembrando aos desenvolvedores e às partes do projeto que devem sempre priorizar a segurança e continuar a melhorar e otimizar o design dos protocolos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
5
Partilhar
Comentar
0/400
AlphaBrain
· 07-31 16:42
Não sabes o que é um contrato e vens brincar com a blockchain?
Ver originalResponder0
SlowLearnerWang
· 07-31 16:42
Eh, já é hora de eu embarcar... Eu disse que as falhas nos contratos são imprevisíveis.
Ver originalResponder0
SandwichHunter
· 07-31 16:37
Ai, outra vez a vulnerabilidade do contrato. Não exagerem nas operações básicas.
Ver originalResponder0
BoredWatcher
· 07-31 16:26
A diversão da transferência de contratos está de volta~
Ver originalResponder0
DegenRecoveryGroup
· 07-31 16:17
Quem é que estragou o contrato? Ainda dá para hackear?
Revelações sobre o ataque Hacker à Poly Network: Análise da vulnerabilidade do contrato EthCrossChainManager
Análise do incidente de ataque do Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, atraindo ampla atenção da indústria. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes e o processo específico do ataque.
Princípios do Ataque
O cerne do ataque reside na vulnerabilidade da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. O atacante conseguiu modificar o keeper do contrato EthCrossChainData para um endereço específico, passando dados cuidadosamente elaborados por meio dessa função. Isso contrasta com a alegação anterior de que a chave privada do keeper havia sido vazada.
Os atacantes exploraram os seguintes pontos-chave:
A função verifyHeaderAndExecuteTx do contrato EthCrossChainManager pode executar transações cross-chain através da função _executeCrossChainTx.
O proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, que pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper.
O atacante constrói dados específicos e, através da chamada da função verifyHeaderAndExecuteTx, invoca a função _executeCrossChainTx, que por sua vez executa a função putCurEpochConPubKeyBytes, mudando o keeper para um endereço controlado pelo atacante.
Após a substituição do keeper, o hacker pode construir transações à vontade e retirar qualquer quantia de fundos do contrato.
Processo de Ataque
Os ataques ocorreram principalmente nas redes Binance Smart Chain (BSC) e Ethereum, e o processo é basicamente o mesmo:
O atacante primeiro chama a função putCurEpochConPubKeyBytes através da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, alterando o keeper.
O keeper sendo substituído, o atacante começa a implementar uma série de transações de ataque, extraindo fundos do contrato.
Após o ataque, devido à modificação do keeper, as transações normais de outros usuários foram revertidas.
Impacto do Evento
Este ataque expôs uma grave vulnerabilidade no design dos contratos do protocolo Poly Network. O hacker conseguiu contornar os mecanismos de segurança existentes ao explorar as relações de permissão e o mecanismo de chamada de funções entre os contratos. Este evento destaca novamente os desafios de segurança enfrentados pelos protocolos de cadeia cruzada, bem como a importância da auditoria de código e do design seguro.
Revelações de Segurança
O design do contrato precisa ser mais cauteloso, especialmente no que diz respeito à gestão de permissões de papéis-chave (como o keeper).
A segurança das chamadas entre contratos deve ser avaliada de forma abrangente, evitando a出现 de vulnerabilidades que possam ser exploradas por atacantes.
Realizar auditorias de segurança abrangentes regularmente, detectando e corrigindo riscos potenciais em tempo hábil.
Estabelecer um mecanismo de múltiplas verificações para evitar riscos sistêmicos causados por falhas de ponto único.
Reforçar a monitorização em tempo real e a capacidade de resposta a emergências, para que se possa reagir rapidamente e tomar as medidas necessárias quando ocorrer um ataque.
Este evento soou o alarme para toda a indústria de blockchain, lembrando aos desenvolvedores e às partes do projeto que devem sempre priorizar a segurança e continuar a melhorar e otimizar o design dos protocolos.