Análise do incidente de ataque do Hacker à Poly Network
O protocolo de interoperabilidade entre cadeias Poly Network enfrentou recentemente um grave incidente de segurança, gerando ampla atenção na indústria. De acordo com a análise da equipe de segurança, este ataque não foi causado por um vazamento da chave privada do keeper, mas sim pela exploração de uma vulnerabilidade no contrato inteligente.
Princípio do Ataque
O cerne do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, que pode executar transações específicas de cross-chain através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper do contrato.
O atacante, ao passar dados cuidadosamente elaborados para a função verifyHeaderAndExecuteTx, fez com que a função _executeCrossChainTx executasse uma operação que modificou o keeper, alterando-o para um endereço controlado pelo atacante. Após completar este passo, o atacante pôde construir transações à vontade, retirando qualquer quantidade de fundos do contrato.
Processo de Ataque
O atacante primeiro chamou a função putCurEpochConPubKeyBytes através da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, alterando o keeper.
Em seguida, o atacante utilizou os novos privilégios de keeper para realizar várias transações de ataque, retirando uma grande quantidade de fundos do contrato.
Devido à alteração do keeper, as transações normais de outros usuários foram subsequentemente rejeitadas pelo sistema.
Este padrão de ataque também foi realizado de forma semelhante na rede Ethereum.
Impacto do Evento
Este incidente de ataque expôs uma grave vulnerabilidade de segurança nos protocolos de cross-chain. Ele não só resultou em uma grande perda de fundos, mas também afetou o funcionamento normal de todo o ecossistema. Este evento enfatiza novamente a importância de prestar atenção redobrada à segurança e à auditoria de código ao projetar e implementar protocolos de cross-chain.
Revelações de Segurança
A gestão de permissões de contratos inteligentes é crucial, especialmente no que diz respeito a modificações de permissões de papéis-chave como o keeper.
O mecanismo de validação das operações cross-chain precisa ser mais rigoroso e abrangente para prevenir dados de transação maliciosamente construídos.
As relações de chamada mútua e herança de permissões entre contratos devem ser cuidadosamente examinadas para evitar elevações de permissões inesperadas.
Realizar auditorias de segurança regulares e programas de recompensas por vulnerabilidades pode ajudar a detectar precocemente potenciais problemas de segurança.
Estabelecer um mecanismo de resposta de emergência, para que seja possível reagir e lidar rapidamente em caso de eventos de segurança.
Este incidente soou o alarme para toda a indústria de blockchain, lembrando-nos de que, na busca por inovação e eficiência, não podemos ignorar a segurança como um pilar fundamental. Apenas construindo uma infraestrutura mais robusta e segura poderemos realmente promover a adoção generalizada e o desenvolvimento a longo prazo da tecnologia blockchain.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
4
Repostar
Compartilhar
Comentário
0/400
ImpermanentPhilosopher
· 08-14 04:39
O contrato teve problemas novamente. Não é a primeira vez, certo?
Ver originalResponder0
MrDecoder
· 08-14 04:38
É novamente a questão do contrato? É um problema antigo.
Ver originalResponder0
DeFiGrayling
· 08-14 04:38
Muito escuro, a espiral da morte chegou à família.
Ver originalResponder0
RadioShackKnight
· 08-14 04:30
Inexperiente e gosta de brincar? Muito pouco profissional, não acha?
Falha de contrato da Poly Network é atacada por Hacker, perdas enormes de ativos em várias cadeias
Análise do incidente de ataque do Hacker à Poly Network
O protocolo de interoperabilidade entre cadeias Poly Network enfrentou recentemente um grave incidente de segurança, gerando ampla atenção na indústria. De acordo com a análise da equipe de segurança, este ataque não foi causado por um vazamento da chave privada do keeper, mas sim pela exploração de uma vulnerabilidade no contrato inteligente.
Princípio do Ataque
O cerne do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, que pode executar transações específicas de cross-chain através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do primeiro para modificar o keeper do contrato.
O atacante, ao passar dados cuidadosamente elaborados para a função verifyHeaderAndExecuteTx, fez com que a função _executeCrossChainTx executasse uma operação que modificou o keeper, alterando-o para um endereço controlado pelo atacante. Após completar este passo, o atacante pôde construir transações à vontade, retirando qualquer quantidade de fundos do contrato.
Processo de Ataque
O atacante primeiro chamou a função putCurEpochConPubKeyBytes através da função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, alterando o keeper.
Em seguida, o atacante utilizou os novos privilégios de keeper para realizar várias transações de ataque, retirando uma grande quantidade de fundos do contrato.
Devido à alteração do keeper, as transações normais de outros usuários foram subsequentemente rejeitadas pelo sistema.
Este padrão de ataque também foi realizado de forma semelhante na rede Ethereum.
Impacto do Evento
Este incidente de ataque expôs uma grave vulnerabilidade de segurança nos protocolos de cross-chain. Ele não só resultou em uma grande perda de fundos, mas também afetou o funcionamento normal de todo o ecossistema. Este evento enfatiza novamente a importância de prestar atenção redobrada à segurança e à auditoria de código ao projetar e implementar protocolos de cross-chain.
Revelações de Segurança
A gestão de permissões de contratos inteligentes é crucial, especialmente no que diz respeito a modificações de permissões de papéis-chave como o keeper.
O mecanismo de validação das operações cross-chain precisa ser mais rigoroso e abrangente para prevenir dados de transação maliciosamente construídos.
As relações de chamada mútua e herança de permissões entre contratos devem ser cuidadosamente examinadas para evitar elevações de permissões inesperadas.
Realizar auditorias de segurança regulares e programas de recompensas por vulnerabilidades pode ajudar a detectar precocemente potenciais problemas de segurança.
Estabelecer um mecanismo de resposta de emergência, para que seja possível reagir e lidar rapidamente em caso de eventos de segurança.
Este incidente soou o alarme para toda a indústria de blockchain, lembrando-nos de que, na busca por inovação e eficiência, não podemos ignorar a segurança como um pilar fundamental. Apenas construindo uma infraestrutura mais robusta e segura poderemos realmente promover a adoção generalizada e o desenvolvimento a longo prazo da tecnologia blockchain.