مؤخراً، تعرض بروتوكول التشغيل المتداخل عبر السلاسل Poly Network لهجوم هاكر، مما أثار اهتماماً واسعاً. وفقاً لتحليل فريق الأمان، لم يكن هذا الهجوم ناتجاً عن تسرب مفتاح keeper الخاص، بل قام المهاجم بتعديل keeper لعقد EthCrossChainData إلى عنوان محدد من خلال بيانات مُعدة بعناية.
هجوم النواة
تكمن نقطة الهجوم الرئيسية في دالة verifyHeaderAndExecuteTx لعقد EthCrossChainManager. يمكن تنفيذ معاملات معينة عبر سلسلة باستخدام دالة _executeCrossChainTx. نظرًا لأن ملكية عقد EthCrossChainData تعود لعقد EthCrossChainManager، يمكن للأخير استدعاء دالة putCurEpochConPubKeyBytes الخاصة بالأول لتعديل keeper للعقد.
عملية الهجوم
المهاجم يستخدم دالة verifyHeaderAndExecuteTx، مع تمرير بيانات مصممة بعناية.
قم بتنفيذ استدعاء الدالة putCurEpochConPubKeyBytes إلى عقد EthCrossChainData عبر الدالة _executeCrossChainTx.
تم تغيير دور keeper بنجاح إلى العنوان المحدد من قبل المهاجم.
بعد الانتهاء من استبدال keeper ، يمكن للمهاجمين إنشاء معاملات بحرية وسحب أي مبلغ من الأموال من العقد.
تأثير الهجوم
بعد الانتهاء من الهجوم، تم تعديل keeper مما أدى إلى رفض تنفيذ المعاملات الطبيعية للمستخدمين الآخرين.
تم تنفيذ أنماط هجوم مشابهة أيضًا على شبكة الإيثيريوم.
!
دروس من الأحداث
يحتاج تصميم العقد إلى آلية تحكم أكثر صرامة.
يجب أن يتضمن تنفيذ الوظائف الأساسية خطوات تحقق متعددة.
من الضروري إجراء تدقيق أمني واختبارات ثغرات بشكل دوري.
يجب أن تحظى أمان العمليات عبر السلاسل بمزيد من الاهتمام والتحسين.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان blockchain، خاصة في السيناريوهات المعقدة عبر السلاسل. يحتاج فريق التطوير إلى تحسين تدابير الأمان باستمرار لمواجهة أساليب الهجوم المتزايدة التعقيد. في الوقت نفسه، يجب على المستخدمين أيضًا زيادة الوعي بالأمان والمشاركة بحذر في مختلف مشاريع blockchain.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
مشاركة
تعليق
0/400
0xSleepDeprived
· 07-31 04:09
مرة أخرى لم يقم keeper بإغلاق القفل
شاهد النسخة الأصليةرد0
TestnetScholar
· 07-30 22:30
أي فريق مشروع لم يقم بعمل التدقيق بشكل جيد؟
شاهد النسخة الأصليةرد0
ForkTongue
· 07-28 22:40
عائلة أخرى مظلمة، في هذه الأيام، يبدو أن التعرض للهجوم هو العملية الطبيعية، أليس كذلك؟
شاهد النسخة الأصليةرد0
SchrodingerAirdrop
· 07-28 15:56
إنه خطأ العقد الذكي مرة أخرى
شاهد النسخة الأصليةرد0
SybilSlayer
· 07-28 15:54
فخ قديم، أي يوم لن يتم استهدافه
شاهد النسخة الأصليةرد0
YieldWhisperer
· 07-28 15:41
يوم آخر، استغلال آخر... كانت حسابات عقد الحافظ خاطئة منذ اليوم الأول
تحليل حادثة هجوم هاكر على شبكة بولي: تم تعديل keeper مما أدى إلى فقدان الأموال
تحليل حادثة هجوم هاكر على شبكة بولي
مؤخراً، تعرض بروتوكول التشغيل المتداخل عبر السلاسل Poly Network لهجوم هاكر، مما أثار اهتماماً واسعاً. وفقاً لتحليل فريق الأمان، لم يكن هذا الهجوم ناتجاً عن تسرب مفتاح keeper الخاص، بل قام المهاجم بتعديل keeper لعقد EthCrossChainData إلى عنوان محدد من خلال بيانات مُعدة بعناية.
هجوم النواة
تكمن نقطة الهجوم الرئيسية في دالة verifyHeaderAndExecuteTx لعقد EthCrossChainManager. يمكن تنفيذ معاملات معينة عبر سلسلة باستخدام دالة _executeCrossChainTx. نظرًا لأن ملكية عقد EthCrossChainData تعود لعقد EthCrossChainManager، يمكن للأخير استدعاء دالة putCurEpochConPubKeyBytes الخاصة بالأول لتعديل keeper للعقد.
عملية الهجوم
تأثير الهجوم
!
دروس من الأحداث
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان blockchain، خاصة في السيناريوهات المعقدة عبر السلاسل. يحتاج فريق التطوير إلى تحسين تدابير الأمان باستمرار لمواجهة أساليب الهجوم المتزايدة التعقيد. في الوقت نفسه، يجب على المستخدمين أيضًا زيادة الوعي بالأمان والمشاركة بحذر في مختلف مشاريع blockchain.