Analisis Peristiwa Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, menarik perhatian luas di industri. Tim keamanan melakukan analisis mendalam terhadap insiden ini, mengungkap rincian teknis serangan dan seluruh proses serangan.
Inti Serangan
Kunci serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat menjalankan transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData untuk mengubah keeper kontrak.
Langkah Serangan
Penyerang mengirimkan data yang dirancang dengan cermat melalui fungsi verifyHeaderAndExecuteTx.
Data ini memicu fungsi _executeCrossChainTx untuk dijalankan, memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData.
Penyerang berhasil mengubah peran keeper ke alamat yang ditentukan.
Setelah menyelesaikan penggantian keeper, penyerang dapat membangun transaksi sesuka hati, untuk menarik jumlah dana yang tidak terbatas dari kontrak.
Dampak Serangan
Serangan terjadi di beberapa jaringan blockchain, termasuk BSC dan Ethereum.
Di BSC, penyerang melakukan serangan melalui beberapa transaksi.
Setelah keeper diubah, transaksi normal pengguna lain ditolak untuk dieksekusi.
Pola serangan di jaringan Ethereum mirip dengan BSC.
Kesimpulan
Penyebab mendasar dari serangan ini adalah bahwa keeper dari kontrak EthCrossChainData dapat dimodifikasi oleh kontrak EthCrossChainManager, sementara fungsi verifyHeaderAndExecuteTx dari yang terakhir dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan membangun data tertentu untuk mengubah keeper dari kontrak EthCrossChainData. Penemuan ini membantah klaim sebelumnya bahwa kebocoran kunci privat keeper menyebabkan serangan.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan protokol lintas rantai, serta mengingatkan para pengembang untuk lebih berhati-hati saat merancang kontrak pintar, terutama dalam hal manajemen hak akses dan panggilan antar kontrak yang merupakan bagian kunci.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
6 Suka
Hadiah
6
4
Posting ulang
Bagikan
Komentar
0/400
SchrodingersPaper
· 21jam yang lalu
Cut Loss keluar sekali menyenangkan, terus menerus dipotong terus menerus menyenangkan
Lihat AsliBalas0
AltcoinHunter
· 22jam yang lalu
Sekali lagi di lokasi penipuan Pig-butchering, lihat saya serius mempelajari lubang ini
Poly Network diserang oleh Hacker, celah kontrak EthCrossChainManager dimanfaatkan.
Analisis Peristiwa Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, menarik perhatian luas di industri. Tim keamanan melakukan analisis mendalam terhadap insiden ini, mengungkap rincian teknis serangan dan seluruh proses serangan.
Inti Serangan
Kunci serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat menjalankan transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData untuk mengubah keeper kontrak.
Langkah Serangan
Dampak Serangan
Kesimpulan
Penyebab mendasar dari serangan ini adalah bahwa keeper dari kontrak EthCrossChainData dapat dimodifikasi oleh kontrak EthCrossChainManager, sementara fungsi verifyHeaderAndExecuteTx dari yang terakhir dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan membangun data tertentu untuk mengubah keeper dari kontrak EthCrossChainData. Penemuan ini membantah klaim sebelumnya bahwa kebocoran kunci privat keeper menyebabkan serangan.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan protokol lintas rantai, serta mengingatkan para pengembang untuk lebih berhati-hati saat merancang kontrak pintar, terutama dalam hal manajemen hak akses dan panggilan antar kontrak yang merupakan bagian kunci.