Son günlerde, çoklu zincir etkileşim protokolü Poly Network, Hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik ekibi bu olayı derinlemesine analiz etti ve saldırının detaylarını ve sürecini ortaya çıkardı.
Saldırı Prensibi
Bu saldırının merkezinde EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonundaki bir açığın bulunması yatıyor. Saldırgan, bu fonksiyon aracılığıyla özenle hazırlanmış verileri ileterek EthCrossChainData sözleşmesinin keeper'ını belirli bir adrese başarıyla değiştirdi. Bu, daha önce dolaşan keeper özel anahtarının sızdığı iddiasıyla çelişiyor.
EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesidir, bu sözleşme öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak keeper'ı değiştirebilir.
Saldırgan belirli veriler oluşturur, verifyHeaderAndExecuteTx fonksiyonu aracılığıyla _executeCrossChainTx'u çağırır ve ardından putCurEpochConPubKeyBytes fonksiyonunu çalıştırarak keeper'ı saldırganın kontrolündeki adrese değiştirir.
Keeper değiştirdikten sonra, saldırgan istediği gibi işlemler oluşturabilir ve sözleşmeden istediği kadar para çekebilir.
Saldırı Süreci
Saldırılar esas olarak Binance Akıllı Zinciri (BSC) ve Ethereum ağlarında gerçekleşmektedir, süreç büyük ölçüde aynıdır:
keeper değiştirildikten sonra, saldırgan bir dizi saldırı işlemi gerçekleştirmeye başladı ve sözleşmeden fonları çekti.
Saldırı tamamlandıktan sonra, keeper değiştirildiği için diğer kullanıcıların normal işlemleri geri alındı.
Olayın Etkisi
Bu saldırı, Poly Network protokolünün sözleşme tasarımındaki önemli bir açığını ortaya çıkardı. Saldırganlar, sözleşmeler arasındaki yetki ilişkilerini ve fonksiyon çağrı mekanizmasını kullanarak, mevcut güvenlik mekanizmalarını başarıyla aştılar. Bu olay, bir kez daha, çapraz zincir protokollerinin güvenlik açısından karşılaştığı zorlukları ve kod denetimi ile güvenlik tasarımının önemini vurguladı.
Güvenlik İpuçları
Sözleşme tasarımı daha dikkatli olmalıdır, özellikle de kritik rolleri (örneğin keeper) içeren yetki yönetimi söz konusu olduğunda.
Akıllı sözleşmeler arası çağrıların güvenliği kapsamlı bir şekilde değerlendirilmelidir, saldırganlar tarafından kullanılabilecek açıkların ortaya çıkmasını önlemek için.
Düzenli olarak kapsamlı güvenlik denetimleri yaparak potansiyel riskleri zamanında tespit edip düzeltin.
Çoklu doğrulama mekanizmaları kurarak, tek nokta arızalarının sistemik risklere neden olmasını önleyin.
Saldırı meydana geldiğinde hızlı bir şekilde tepki vermek ve gerekli önlemleri almak için gerçek zamanlı izleme ve acil yanıt yeteneklerini güçlendirin.
Bu olay, tüm blockchain sektörüne bir uyarı niteliği taşıdı ve geliştiricilerin ve proje sahiplerinin güvenliği her zaman öncelikli hale getirmeleri ve protokol tasarımını sürekli olarak geliştirmeleri ve optimize etmeleri gerektiğini hatırlatıyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
5
Share
Comment
0/400
AlphaBrain
· 07-31 16:42
Sözleşmeyi tam olarak anlamadan mı blok zinciri oynamaya geldin?
View OriginalReply0
SlowLearnerWang
· 07-31 16:42
Eh, şimdi gemiye binin zamanım geldi... Sadece sözleşme açıklarını önlemenin zor olduğunu söyledim.
View OriginalReply0
SandwichHunter
· 07-31 16:37
Eh, yine bir sözleşme açığı gördüm, temel hareketleri yapmayın.
Poly Network Hacker saldırısı olayı inceleniyor: EthCrossChainManager sözleşme açığı analizi
Poly Network'in Hacker Saldırısı Olayı Analizi
Son günlerde, çoklu zincir etkileşim protokolü Poly Network, Hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik ekibi bu olayı derinlemesine analiz etti ve saldırının detaylarını ve sürecini ortaya çıkardı.
Saldırı Prensibi
Bu saldırının merkezinde EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonundaki bir açığın bulunması yatıyor. Saldırgan, bu fonksiyon aracılığıyla özenle hazırlanmış verileri ileterek EthCrossChainData sözleşmesinin keeper'ını belirli bir adrese başarıyla değiştirdi. Bu, daha önce dolaşan keeper özel anahtarının sızdığı iddiasıyla çelişiyor.
Saldırgan, aşağıdaki kilit noktaları kullandı:
EthCrossChainManager kontratının verifyHeaderAndExecuteTx fonksiyonu, _executeCrossChainTx fonksiyonu aracılığıyla çapraz zincir işlemleri gerçekleştirebilir.
EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesidir, bu sözleşme öncekinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak keeper'ı değiştirebilir.
Saldırgan belirli veriler oluşturur, verifyHeaderAndExecuteTx fonksiyonu aracılığıyla _executeCrossChainTx'u çağırır ve ardından putCurEpochConPubKeyBytes fonksiyonunu çalıştırarak keeper'ı saldırganın kontrolündeki adrese değiştirir.
Keeper değiştirdikten sonra, saldırgan istediği gibi işlemler oluşturabilir ve sözleşmeden istediği kadar para çekebilir.
Saldırı Süreci
Saldırılar esas olarak Binance Akıllı Zinciri (BSC) ve Ethereum ağlarında gerçekleşmektedir, süreç büyük ölçüde aynıdır:
Saldırgan, öncelikle EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunu çağırarak putCurEpochConPubKeyBytes fonksiyonunu kullanır ve keeper'ı değiştirir.
keeper değiştirildikten sonra, saldırgan bir dizi saldırı işlemi gerçekleştirmeye başladı ve sözleşmeden fonları çekti.
Saldırı tamamlandıktan sonra, keeper değiştirildiği için diğer kullanıcıların normal işlemleri geri alındı.
Olayın Etkisi
Bu saldırı, Poly Network protokolünün sözleşme tasarımındaki önemli bir açığını ortaya çıkardı. Saldırganlar, sözleşmeler arasındaki yetki ilişkilerini ve fonksiyon çağrı mekanizmasını kullanarak, mevcut güvenlik mekanizmalarını başarıyla aştılar. Bu olay, bir kez daha, çapraz zincir protokollerinin güvenlik açısından karşılaştığı zorlukları ve kod denetimi ile güvenlik tasarımının önemini vurguladı.
Güvenlik İpuçları
Sözleşme tasarımı daha dikkatli olmalıdır, özellikle de kritik rolleri (örneğin keeper) içeren yetki yönetimi söz konusu olduğunda.
Akıllı sözleşmeler arası çağrıların güvenliği kapsamlı bir şekilde değerlendirilmelidir, saldırganlar tarafından kullanılabilecek açıkların ortaya çıkmasını önlemek için.
Düzenli olarak kapsamlı güvenlik denetimleri yaparak potansiyel riskleri zamanında tespit edip düzeltin.
Çoklu doğrulama mekanizmaları kurarak, tek nokta arızalarının sistemik risklere neden olmasını önleyin.
Saldırı meydana geldiğinde hızlı bir şekilde tepki vermek ve gerekli önlemleri almak için gerçek zamanlı izleme ve acil yanıt yeteneklerini güçlendirin.
Bu olay, tüm blockchain sektörüne bir uyarı niteliği taşıdı ve geliştiricilerin ve proje sahiplerinin güvenliği her zaman öncelikli hale getirmeleri ve protokol tasarımını sürekli olarak geliştirmeleri ve optimize etmeleri gerektiğini hatırlatıyor.