Análise do incidente de ataque Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, gerando ampla atenção no setor. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes técnicos do ataque e todo o processo de ataque.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar uma transação específica entre cadeias através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do contrato EthCrossChainData para modificar o keeper do contrato.
Etapas do Ataque
O atacante envia dados cuidadosamente elaborados através da função verifyHeaderAndExecuteTx.
Esses dados acionam a execução da função _executeCrossChainTx, chamando a função putCurEpochConPubKeyBytes do contrato EthCrossChainData.
O atacante conseguiu alterar o papel de keeper para o endereço especificado.
Após a substituição do keeper, o atacante pode construir transações arbitrárias para extrair qualquer quantidade de fundos do contrato.
Impacto do ataque
O ataque ocorreu em várias redes de blockchain, incluindo BSC e Ethereum.
No BSC, o atacante implementou o ataque através de múltiplas transações.
Após a modificação do keeper, as transações normais de outros usuários são rejeitadas.
Os modos de ataque na rede Ethereum são semelhantes aos da BSC.
Conclusão
A causa fundamental do ataque foi que o keeper do contrato EthCrossChainData podia ser modificado pelo contrato EthCrossChainManager, cuja função verifyHeaderAndExecuteTx pode executar os dados fornecidos pelo usuário. O atacante explorou essa vulnerabilidade para modificar o keeper do contrato EthCrossChainData ao construir dados específicos. Esta descoberta refuta a alegação anterior de que a violação da chave privada do keeper levou ao ataque.
Este evento destaca novamente a importância da segurança dos protocolos de cross-chain e lembra os desenvolvedores que devem ser mais cautelosos ao projetar contratos inteligentes, especialmente nas etapas críticas que envolvem gestão de permissões e chamadas entre contratos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
4
Republicar
Partilhar
Comentar
0/400
SchrodingersPaper
· 08-14 16:20
Perda de corte é bom por um momento, mas estar sempre a ser cortado é sempre bom.
Ver originalResponder0
AltcoinHunter
· 08-14 16:08
Mais um caso de Scams de pig-butchering, veja como estou estudando seriamente este buraco.
Poly Network sofreu um ataque de Hacker, a vulnerabilidade do contrato EthCrossChainManager foi explorada.
Análise do incidente de ataque Hacker à Poly Network
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker, gerando ampla atenção no setor. A equipe de segurança realizou uma análise aprofundada deste evento, revelando os detalhes técnicos do ataque e todo o processo de ataque.
Ataque ao núcleo
A chave do ataque está na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager. Esta função pode executar uma transação específica entre cadeias através da função _executeCrossChainTx. Como o proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, este último pode chamar a função putCurEpochConPubKeyBytes do contrato EthCrossChainData para modificar o keeper do contrato.
Etapas do Ataque
Impacto do ataque
Conclusão
A causa fundamental do ataque foi que o keeper do contrato EthCrossChainData podia ser modificado pelo contrato EthCrossChainManager, cuja função verifyHeaderAndExecuteTx pode executar os dados fornecidos pelo usuário. O atacante explorou essa vulnerabilidade para modificar o keeper do contrato EthCrossChainData ao construir dados específicos. Esta descoberta refuta a alegação anterior de que a violação da chave privada do keeper levou ao ataque.
Este evento destaca novamente a importância da segurança dos protocolos de cross-chain e lembra os desenvolvedores que devem ser mais cautelosos ao projetar contratos inteligentes, especialmente nas etapas críticas que envolvem gestão de permissões e chamadas entre contratos.