Son günlerde, çapraz zincir etkileşim protokolü Poly Network, bir Hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik ekibi, bu olayı derinlemesine analiz ederek saldırının teknik detaylarını ve tüm saldırı sürecini ortaya koydu.
Saldırı Çekirdeği
Saldırının anahtarı, EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonudur. Bu fonksiyon, belirli bir çapraz zincir işlemini _executeCrossChainTx fonksiyonu aracılığıyla gerçekleştirebilir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin koruyucusunu değiştirebilir.
Saldırı Adımları
Saldırgan, verifyHeaderAndExecuteTx fonksiyonu aracılığıyla özenle hazırlanmış verileri iletir.
Bu veriler _executeCrossChainTx fonksiyonunun çalışmasını tetikler ve EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyonunu çağırır.
Saldırgan, keeper rolünü belirlenen adrese başarıyla değiştirdi.
Keeper değişimi tamamlandıktan sonra, saldırgan rastgele işlemler oluşturabilir ve akıldan istedikleri kadar fon çekebilir.
Saldırı Etkisi
Saldırı, BSC ve Ethereum dahil olmak üzere birçok blok zinciri ağında gerçekleşti.
BSC üzerinde, saldırgan birden fazla işlemle saldırıyı gerçekleştirdi.
keeper değiştirildikten sonra, diğer kullanıcıların normal işlemleri reddedilir.
Ethereum ağındaki saldırı modeli BSC'ye benzer.
Sonuç
Bu saldırının temel nedeni, EthCrossChainData sözleşmesinin keeper'ının EthCrossChainManager sözleşmesi tarafından değiştirilebilir olmasıdır ve bu sonuncunun verifyHeaderAndExecuteTx fonksiyonu, kullanıcı tarafından sağlanan verileri çalıştırabilir. Saldırganlar, bu açığı kullanarak belirli veriler oluşturarak EthCrossChainData sözleşmesinin keeper'ını değiştirdiler. Bu bulgu, daha önce dolaşan keeper özel anahtarının sızması nedeniyle saldırının gerçekleştiği iddiasını çürütmüştür.
Bu olay, zincirler arası protokollerin güvenliğinin önemini bir kez daha vurguladı ve geliştiricilere akıllı sözleşmeler tasarlarken daha dikkatli olmaları gerektiğini hatırlattı, özellikle de yetki yönetimi ve akıllar arası çağrılar gibi kritik aşamalarda.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
6 Likes
Reward
6
4
Repost
Share
Comment
0/400
SchrodingersPaper
· 08-14 16:20
Kesinti Kaybı çıkışı bir anlık zevk, sürekli insanları enayi yerine koymak.
View OriginalReply0
AltcoinHunter
· 08-14 16:08
Yine bir Domuz kasaplığı dolandırıcılığı sahnesi, bu deliği ciddi bir şekilde inceleyişime bak.
Poly Network, Hacker saldırısına uğradı. EthCrossChainManager sözleşmesindeki açık kullanıldı.
Poly Network'in Hacker Saldırısı Olayı Analizi
Son günlerde, çapraz zincir etkileşim protokolü Poly Network, bir Hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik ekibi, bu olayı derinlemesine analiz ederek saldırının teknik detaylarını ve tüm saldırı sürecini ortaya koydu.
Saldırı Çekirdeği
Saldırının anahtarı, EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonudur. Bu fonksiyon, belirli bir çapraz zincir işlemini _executeCrossChainTx fonksiyonu aracılığıyla gerçekleştirebilir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak sözleşmenin koruyucusunu değiştirebilir.
Saldırı Adımları
Saldırı Etkisi
Sonuç
Bu saldırının temel nedeni, EthCrossChainData sözleşmesinin keeper'ının EthCrossChainManager sözleşmesi tarafından değiştirilebilir olmasıdır ve bu sonuncunun verifyHeaderAndExecuteTx fonksiyonu, kullanıcı tarafından sağlanan verileri çalıştırabilir. Saldırganlar, bu açığı kullanarak belirli veriler oluşturarak EthCrossChainData sözleşmesinin keeper'ını değiştirdiler. Bu bulgu, daha önce dolaşan keeper özel anahtarının sızması nedeniyle saldırının gerçekleştiği iddiasını çürütmüştür.
Bu olay, zincirler arası protokollerin güvenliğinin önemini bir kez daha vurguladı ve geliştiricilere akıllı sözleşmeler tasarlarken daha dikkatli olmaları gerektiğini hatırlattı, özellikle de yetki yönetimi ve akıllar arası çağrılar gibi kritik aşamalarda.