Análise do incidente de ataque Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, gerando ampla atenção no setor. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes técnicos do ataque e todo o processo de ataque.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar uma transação específica entre cadeias através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do contrato EthCrossChainData para modificar o keeper do contrato.
Etapas do Ataque
O atacante envia dados cuidadosamente elaborados através da função verifyHeaderAndExecuteTx.
Esses dados acionam a execução da função _executeCrossChainTx, chamando a função putCurEpochConPubKeyBytes do contrato EthCrossChainData.
O atacante conseguiu alterar o papel de keeper para o endereço especificado.
Após a substituição do keeper, o atacante pode construir transações arbitrárias para extrair qualquer quantidade de fundos do contrato.
Impacto do ataque
O ataque ocorreu em várias redes de blockchain, incluindo BSC e Ethereum.
No BSC, o atacante implementou o ataque através de múltiplas transações.
Após a modificação do keeper, as transações normais de outros usuários são rejeitadas.
Os modos de ataque na rede Ethereum são semelhantes aos da BSC.
Conclusão
A causa fundamental do ataque foi que o keeper do contrato EthCrossChainData podia ser modificado pelo contrato EthCrossChainManager, cuja função verifyHeaderAndExecuteTx pode executar os dados fornecidos pelo usuário. O atacante explorou essa vulnerabilidade para modificar o keeper do contrato EthCrossChainData ao construir dados específicos. Esta descoberta refuta a alegação anterior de que a violação da chave privada do keeper levou ao ataque.
Este evento destaca novamente a importância da segurança dos protocolos de cross-chain e lembra os desenvolvedores que devem ser mais cautelosos ao projetar contratos inteligentes, especialmente nas etapas críticas que envolvem gestão de permissões e chamadas entre contratos.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
6 Curtidas
Recompensa
6
4
Repostar
Compartilhar
Comentário
0/400
SchrodingersPaper
· 22h atrás
Perda de corte é bom por um momento, mas estar sempre a ser cortado é sempre bom.
Ver originalResponder0
AltcoinHunter
· 22h atrás
Mais um caso de Scams de pig-butchering, veja como estou estudando seriamente este buraco.
Poly Network sofreu um ataque de Hacker, a vulnerabilidade do contrato EthCrossChainManager foi explorada.
Análise do incidente de ataque Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, gerando ampla atenção no setor. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes técnicos do ataque e todo o processo de ataque.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar uma transação específica entre cadeias através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do contrato EthCrossChainData para modificar o keeper do contrato.
Etapas do Ataque
Impacto do ataque
Conclusão
A causa fundamental do ataque foi que o keeper do contrato EthCrossChainData podia ser modificado pelo contrato EthCrossChainManager, cuja função verifyHeaderAndExecuteTx pode executar os dados fornecidos pelo usuário. O atacante explorou essa vulnerabilidade para modificar o keeper do contrato EthCrossChainData ao construir dados específicos. Esta descoberta refuta a alegação anterior de que a violação da chave privada do keeper levou ao ataque.
Este evento destaca novamente a importância da segurança dos protocolos de cross-chain e lembra os desenvolvedores que devem ser mais cautelosos ao projetar contratos inteligentes, especialmente nas etapas críticas que envolvem gestão de permissões e chamadas entre contratos.