Le protocole d'interopérabilité cross-chain Poly Network a récemment été confronté à un grave incident de sécurité, suscitant une large attention dans l'industrie. Selon l'analyse de l'équipe de sécurité, cette attaque n'est pas due à une fuite de la clé privée du keeper, mais plutôt à une exploitation d'une vulnérabilité dans le contrat intelligent.
Principe d'attaque
Le cœur de l'attaque réside dans le fait que la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que le propriétaire du contrat EthCrossChainData est le contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de ce dernier pour modifier le keeper du contrat.
L'attaquant a réussi à exécuter une opération de modification du keeper en passant des données soigneusement construites à la fonction verifyHeaderAndExecuteTx, ce qui a conduit à l'exécution de la fonction _executeCrossChainTx, changeant ainsi l'adresse en celle contrôlée par l'attaquant. Une fois cette étape accomplie, l'attaquant pouvait construire librement des transactions et retirer n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant a d'abord appelé la fonction putCurEpochConPubKeyBytes via la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager, modifiant ainsi le keeper.
Ensuite, l'attaquant a utilisé les nouveaux droits de keeper pour lancer plusieurs transactions d'attaque, extrayant une grande quantité de fonds du contrat.
En raison de la modification du keeper, les transactions normales des autres utilisateurs ont ensuite été rejetées par le système.
Ce mode d'attaque a également été utilisé de manière similaire sur le réseau Ethereum.
Impact de l'événement
Cet incident d'attaque a révélé des vulnérabilités de sécurité majeures dans le protocole inter-chaînes. Il a non seulement entraîné d'importantes pertes financières, mais a également affecté le bon fonctionnement de l'ensemble de l'écosystème. Cet événement souligne à nouveau l'importance d'accorder une attention particulière à la sécurité et à l'audit de code lors de la conception et de la mise en œuvre des protocoles inter-chaînes.
Révélation de sécurité
La gestion des permissions des contrats intelligents est cruciale, en particulier en ce qui concerne les permissions de modification des rôles clés tels que keeper.
Le mécanisme de validation des opérations inter-chaînes doit être plus strict et complet afin de prévenir les données de transaction malveillamment construites.
Les relations d'appel mutuel et d'héritage de permissions entre les contrats doivent être examinées avec soin afin d'éviter toute élévation inattendue des permissions.
Effectuer des audits de sécurité réguliers et des programmes de récompense pour les bogues peut aider à détecter tôt les problèmes de sécurité potentiels.
Établir un mécanisme de réponse d'urgence afin de pouvoir réagir et traiter rapidement en cas d'incident de sécurité.
Cet incident a sonné l'alarme pour l'ensemble de l'industrie de la blockchain, nous rappelant qu'en poursuivant l'innovation et l'efficacité, nous ne devons pas négliger la sécurité, qui est la pierre angulaire. Ce n'est qu'en construisant des infrastructures plus robustes et sécurisées que nous pourrons véritablement promouvoir l'application généralisée et le développement à long terme de la technologie blockchain.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
6
Reposter
Partager
Commentaire
0/400
FloorSweeper
· 08-16 18:38
Mon dieu, une autre machine à prendre les gens pour des idiots est tombée.
Voir l'originalRépondre0
DoomCanister
· 08-16 17:35
Se faire prendre pour des cons artisans est de retour.
Voir l'originalRépondre0
ImpermanentPhilosopher
· 08-14 04:39
Le contrat a de nouveau des problèmes, ce n'est pas la première fois, n'est-ce pas ?
Voir l'originalRépondre0
MrDecoder
· 08-14 04:38
Encore un problème de contrat, hein ? C'est un vieux problème.
Voir l'originalRépondre0
DeFiGrayling
· 08-14 04:38
Encore noir et noir, la spirale de la mort a eu fam.
Voir l'originalRépondre0
RadioShackKnight
· 08-14 04:30
Être mauvais et aimer jouer ? Ce n'est pas très professionnel, non ?
Poly Network a subi une attaque de hacker sur ses vulnérabilités de contrat, entraînant des pertes énormes d'actifs multi-chaînes.
Analyse de l'incident de hacking de Poly Network
Le protocole d'interopérabilité cross-chain Poly Network a récemment été confronté à un grave incident de sécurité, suscitant une large attention dans l'industrie. Selon l'analyse de l'équipe de sécurité, cette attaque n'est pas due à une fuite de la clé privée du keeper, mais plutôt à une exploitation d'une vulnérabilité dans le contrat intelligent.
Principe d'attaque
Le cœur de l'attaque réside dans le fait que la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que le propriétaire du contrat EthCrossChainData est le contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de ce dernier pour modifier le keeper du contrat.
L'attaquant a réussi à exécuter une opération de modification du keeper en passant des données soigneusement construites à la fonction verifyHeaderAndExecuteTx, ce qui a conduit à l'exécution de la fonction _executeCrossChainTx, changeant ainsi l'adresse en celle contrôlée par l'attaquant. Une fois cette étape accomplie, l'attaquant pouvait construire librement des transactions et retirer n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant a d'abord appelé la fonction putCurEpochConPubKeyBytes via la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager, modifiant ainsi le keeper.
Ensuite, l'attaquant a utilisé les nouveaux droits de keeper pour lancer plusieurs transactions d'attaque, extrayant une grande quantité de fonds du contrat.
En raison de la modification du keeper, les transactions normales des autres utilisateurs ont ensuite été rejetées par le système.
Ce mode d'attaque a également été utilisé de manière similaire sur le réseau Ethereum.
Impact de l'événement
Cet incident d'attaque a révélé des vulnérabilités de sécurité majeures dans le protocole inter-chaînes. Il a non seulement entraîné d'importantes pertes financières, mais a également affecté le bon fonctionnement de l'ensemble de l'écosystème. Cet événement souligne à nouveau l'importance d'accorder une attention particulière à la sécurité et à l'audit de code lors de la conception et de la mise en œuvre des protocoles inter-chaînes.
Révélation de sécurité
La gestion des permissions des contrats intelligents est cruciale, en particulier en ce qui concerne les permissions de modification des rôles clés tels que keeper.
Le mécanisme de validation des opérations inter-chaînes doit être plus strict et complet afin de prévenir les données de transaction malveillamment construites.
Les relations d'appel mutuel et d'héritage de permissions entre les contrats doivent être examinées avec soin afin d'éviter toute élévation inattendue des permissions.
Effectuer des audits de sécurité réguliers et des programmes de récompense pour les bogues peut aider à détecter tôt les problèmes de sécurité potentiels.
Établir un mécanisme de réponse d'urgence afin de pouvoir réagir et traiter rapidement en cas d'incident de sécurité.
Cet incident a sonné l'alarme pour l'ensemble de l'industrie de la blockchain, nous rappelant qu'en poursuivant l'innovation et l'efficacité, nous ne devons pas négliger la sécurité, qui est la pierre angulaire. Ce n'est qu'en construisant des infrastructures plus robustes et sécurisées que nous pourrons véritablement promouvoir l'application généralisée et le développement à long terme de la technologie blockchain.