Analisis Peristiwa Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan hacker, yang memicu perhatian luas. Tim keamanan setelah analisis percaya bahwa serangan kali ini tidak disebabkan oleh kebocoran kunci pribadi keeper, tetapi penyerang telah dengan cermat mengubah data untuk menetapkan keeper kontrak EthCrossChainData ke alamat tertentu.
Detail Serangan
Inti dari serangan ini adalah fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, sehingga yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang mengirimkan data khusus melalui fungsi verifyHeaderAndExecuteTx, sehingga fungsi _executeCrossChainTx melakukan panggilan ke fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, sehingga keeper diubah menjadi alamat yang ditentukan oleh penyerang.
Setelah mengganti keeper, penyerang dapat dengan bebas membuat transaksi untuk menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
Selanjutnya, penyerang melakukan beberapa transaksi serangan untuk menarik dana dari kontrak.
Karena keeper diubah, transaksi normal pengguna lain dibatalkan.
Metode serangan serupa juga diterapkan di jaringan Ethereum.
Kesimpulan
Esensi dari serangan ini terletak pada kemampuan kontrak EthCrossChainData untuk dimodifikasi oleh kontrak EthCrossChainManager, di mana fungsi verifyHeaderAndExecuteTx dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan menyusun data secara cermat untuk mengubah keeper, bukan seperti yang sebelumnya dirumorkan mengenai kebocoran kunci privat keeper.
Peristiwa ini kembali menyoroti pentingnya keamanan protokol lintas rantai, mengingatkan pengembang dan pengguna untuk merancang dan menggunakan fungsi terkait dengan lebih hati-hati. Pada saat yang sama, ini juga membangunkan seluruh industri, menyerukan peningkatan audit dan pencegahan terhadap kerentanan kontrak pintar.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Bagikan
Komentar
0/400
NFTBlackHole
· 08-05 02:09
Ini adalah contoh klasik di mana celah dieksploitasi.
Analisis serangan hacker Poly Network: Kerentanan kontrak menyebabkan keeper diubah
Analisis Peristiwa Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan hacker, yang memicu perhatian luas. Tim keamanan setelah analisis percaya bahwa serangan kali ini tidak disebabkan oleh kebocoran kunci pribadi keeper, tetapi penyerang telah dengan cermat mengubah data untuk menetapkan keeper kontrak EthCrossChainData ke alamat tertentu.
Detail Serangan
Inti dari serangan ini adalah fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, sehingga yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang mengirimkan data khusus melalui fungsi verifyHeaderAndExecuteTx, sehingga fungsi _executeCrossChainTx melakukan panggilan ke fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, sehingga keeper diubah menjadi alamat yang ditentukan oleh penyerang.
Setelah mengganti keeper, penyerang dapat dengan bebas membuat transaksi untuk menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
Selanjutnya, penyerang melakukan beberapa transaksi serangan untuk menarik dana dari kontrak.
Karena keeper diubah, transaksi normal pengguna lain dibatalkan.
Metode serangan serupa juga diterapkan di jaringan Ethereum.
Kesimpulan
Esensi dari serangan ini terletak pada kemampuan kontrak EthCrossChainData untuk dimodifikasi oleh kontrak EthCrossChainManager, di mana fungsi verifyHeaderAndExecuteTx dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan menyusun data secara cermat untuk mengubah keeper, bukan seperti yang sebelumnya dirumorkan mengenai kebocoran kunci privat keeper.
Peristiwa ini kembali menyoroti pentingnya keamanan protokol lintas rantai, mengingatkan pengembang dan pengguna untuk merancang dan menggunakan fungsi terkait dengan lebih hati-hati. Pada saat yang sama, ini juga membangunkan seluruh industri, menyerukan peningkatan audit dan pencegahan terhadap kerentanan kontrak pintar.