Analyse de l'incident de cyberattaque sur Poly Network
Récemment, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, suscitant une large attention. Après analyse par l'équipe de sécurité, cette attaque n'est pas due à une fuite de la clé privée du keeper, mais à une modification du contrat EthCrossChainData par l'attaquant, utilisant des données soigneusement construites, pour changer le keeper à une adresse spécifiée.
Attaque du noyau
La clé de l'attaque réside dans la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager. Cette fonction peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que la propriété du contrat EthCrossChainData appartient au contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de l'ancien pour modifier le keeper du contrat.
Processus d'attaque
L'attaquant utilise la fonction verifyHeaderAndExecuteTx en passant des données soigneusement conçues.
Exécuter l'appel de la fonction putCurEpochConPubKeyBytes du contrat EthCrossChainData via la fonction _executeCrossChainTx.
Changement réussi du rôle de keeper à l'adresse spécifiée par l'attaquant.
Une fois le remplacement du keeper effectué, l'attaquant peut construire des transactions à sa guise et retirer n'importe quel montant de fonds du contrat.
Impact de l'attaque
Après l'attaque, en raison de la modification du keeper, les transactions normales des autres utilisateurs ont été refusées.
Des modèles d'attaque similaires ont également été mis en œuvre sur le réseau Ethereum.
Révélations d'événements
Il est nécessaire d'avoir un mécanisme de contrôle d'accès plus strict dans la conception des contrats.
L'exécution des fonctions clés doit comporter plusieurs étapes de vérification.
Il est crucial de procéder à des audits de sécurité et à des tests de vulnérabilité réguliers.
La sécurité des opérations inter-chaînes nécessite plus d'attention et d'amélioration.
Cet incident met à nouveau en évidence l'importance de la sécurité de la blockchain, en particulier dans des scénarios complexes de cross-chain. Les équipes de développement doivent constamment améliorer les mesures de sécurité pour faire face à des méthodes d'attaque de plus en plus complexes. En même temps, les utilisateurs doivent également accroître leur sensibilisation à la sécurité et participer avec prudence à divers projets de blockchain.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
6
Partager
Commentaire
0/400
0xSleepDeprived
· 07-31 04:09
Encore un keeper qui n'est pas verrouillé.
Voir l'originalRépondre0
TestnetScholar
· 07-30 22:30
Quel groupe de projet n'a pas bien fait l'audit ?
Voir l'originalRépondre0
ForkTongue
· 07-28 22:40
Encore une arnaque, de nos jours, se faire avoir est devenu la norme.
Voir l'originalRépondre0
SchrodingerAirdrop
· 07-28 15:56
C'est encore la faute des contrats intelligents.
Voir l'originalRépondre0
SybilSlayer
· 07-28 15:54
C'est un vieux piège, quel jour ne sera pas en noir ?
Voir l'originalRépondre0
YieldWhisperer
· 07-28 15:41
un autre jour, une autre exploitation... les mathématiques du contrat de garde étaient fausses depuis le premier jour
Analyse de l'attaque du Hacker Poly Network : la modification du keeper a entraîné une perte de fonds
Analyse de l'incident de cyberattaque sur Poly Network
Récemment, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, suscitant une large attention. Après analyse par l'équipe de sécurité, cette attaque n'est pas due à une fuite de la clé privée du keeper, mais à une modification du contrat EthCrossChainData par l'attaquant, utilisant des données soigneusement construites, pour changer le keeper à une adresse spécifiée.
Attaque du noyau
La clé de l'attaque réside dans la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager. Cette fonction peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que la propriété du contrat EthCrossChainData appartient au contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de l'ancien pour modifier le keeper du contrat.
Processus d'attaque
Impact de l'attaque
Révélations d'événements
Cet incident met à nouveau en évidence l'importance de la sécurité de la blockchain, en particulier dans des scénarios complexes de cross-chain. Les équipes de développement doivent constamment améliorer les mesures de sécurité pour faire face à des méthodes d'attaque de plus en plus complexes. En même temps, les utilisateurs doivent également accroître leur sensibilisation à la sécurité et participer avec prudence à divers projets de blockchain.