Análisis del incidente de ataque de Hacker a Poly Network
El protocolo de interoperabilidad entre cadenas Poly Network ha enfrentado un grave incidente de seguridad recientemente, lo que ha generado una amplia atención en la industria. Según el análisis del equipo de seguridad, este ataque no fue causado por la filtración de la clave privada del keeper, sino que los atacantes aprovecharon una vulnerabilidad en el contrato inteligente.
Principio del ataque
El núcleo del ataque radica en que la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager puede ejecutar transacciones específicas entre cadenas a través de la función _executeCrossChainTx. Dado que el propietario del contrato EthCrossChainData es el contrato EthCrossChainManager, este último puede invocar la función putCurEpochConPubKeyBytes del primero para modificar el keeper del contrato.
El atacante logró que la función _executeCrossChainTx ejecutara una operación de modificación del keeper al pasar datos cuidadosamente construidos a la función verifyHeaderAndExecuteTx, cambiando la dirección a una controlada por el atacante. Una vez completado este paso, el atacante podía construir transacciones a voluntad y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
El atacante primero llamó a la función putCurEpochConPubKeyBytes a través de la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager, cambiando el keeper.
A continuación, el hacker aprovechó los nuevos permisos de keeper para llevar a cabo múltiples transacciones de ataque, extrayendo una gran cantidad de fondos del contrato.
Debido a que el keeper fue modificado, las transacciones normales de otros usuarios fueron posteriormente rechazadas por el sistema.
Este modo de ataque también se ha llevado a cabo de manera similar en la red de Ethereum.
Impacto del evento
Este incidente de ataque ha expuesto una grave vulnerabilidad de seguridad en el protocolo de cadena cruzada. No solo ha resultado en una gran pérdida de fondos, sino que también ha afectado el funcionamiento normal de todo el ecosistema. Este evento enfatiza una vez más la importancia de prestar especial atención a la seguridad y la auditoría del código al diseñar e implementar protocolos de cadena cruzada.
Revelaciones de Seguridad
La gestión de permisos de los contratos inteligentes es crucial, especialmente en lo que respecta a los permisos de modificación de roles clave como el keeper.
El mecanismo de verificación de las operaciones entre cadenas necesita ser más estricto y completo para prevenir datos de transacción maliciosamente construidos.
Las relaciones de llamada mutua y herencia de permisos entre contratos deben ser revisadas cuidadosamente para evitar elevaciones inesperadas de permisos.
Realizar auditorías de seguridad periódicas y un programa de recompensas por vulnerabilidades puede ayudar a detectar problemas de seguridad potenciales a tiempo.
Establecer un mecanismo de respuesta de emergencia para poder reaccionar y manejar rápidamente en caso de que ocurra un incidente de seguridad.
Este incidente ha sonado la alarma para toda la industria de blockchain, recordándonos que al perseguir la innovación y la eficiencia, no podemos pasar por alto la seguridad como piedra angular. Solo construyendo infraestructuras más robustas y seguras podremos impulsar verdaderamente la aplicación amplia y el desarrollo a largo plazo de la tecnología blockchain.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
6
Republicar
Compartir
Comentar
0/400
FloorSweeper
· 08-16 18:38
¡Dios mío! Otra máquina de tomar a la gente por tonta ha caído.
Ver originalesResponder0
DoomCanister
· 08-16 17:35
Ser engañados handcraftsman ya llegó
Ver originalesResponder0
ImpermanentPhilosopher
· 08-14 04:39
El contrato ha vuelto a tener problemas. No es la primera vez, ¿verdad?
Ver originalesResponder0
MrDecoder
· 08-14 04:38
¿Es otra vez el contrato de la olla? Es el mismo problema de siempre.
Ver originalesResponder0
DeFiGrayling
· 08-14 04:38
Otra vez oscuro y negro, ha muerto la familia.
Ver originalesResponder0
RadioShackKnight
· 08-14 04:30
¿Eres malo y te gusta jugar? Eso es muy poco profesional.
El contrato de Poly Network sufrió un ataque de Hacker, lo que resultó en grandes pérdidas de activos multicanal.
Análisis del incidente de ataque de Hacker a Poly Network
El protocolo de interoperabilidad entre cadenas Poly Network ha enfrentado un grave incidente de seguridad recientemente, lo que ha generado una amplia atención en la industria. Según el análisis del equipo de seguridad, este ataque no fue causado por la filtración de la clave privada del keeper, sino que los atacantes aprovecharon una vulnerabilidad en el contrato inteligente.
Principio del ataque
El núcleo del ataque radica en que la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager puede ejecutar transacciones específicas entre cadenas a través de la función _executeCrossChainTx. Dado que el propietario del contrato EthCrossChainData es el contrato EthCrossChainManager, este último puede invocar la función putCurEpochConPubKeyBytes del primero para modificar el keeper del contrato.
El atacante logró que la función _executeCrossChainTx ejecutara una operación de modificación del keeper al pasar datos cuidadosamente construidos a la función verifyHeaderAndExecuteTx, cambiando la dirección a una controlada por el atacante. Una vez completado este paso, el atacante podía construir transacciones a voluntad y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
El atacante primero llamó a la función putCurEpochConPubKeyBytes a través de la función verifyHeaderAndExecuteTx del contrato EthCrossChainManager, cambiando el keeper.
A continuación, el hacker aprovechó los nuevos permisos de keeper para llevar a cabo múltiples transacciones de ataque, extrayendo una gran cantidad de fondos del contrato.
Debido a que el keeper fue modificado, las transacciones normales de otros usuarios fueron posteriormente rechazadas por el sistema.
Este modo de ataque también se ha llevado a cabo de manera similar en la red de Ethereum.
Impacto del evento
Este incidente de ataque ha expuesto una grave vulnerabilidad de seguridad en el protocolo de cadena cruzada. No solo ha resultado en una gran pérdida de fondos, sino que también ha afectado el funcionamiento normal de todo el ecosistema. Este evento enfatiza una vez más la importancia de prestar especial atención a la seguridad y la auditoría del código al diseñar e implementar protocolos de cadena cruzada.
Revelaciones de Seguridad
La gestión de permisos de los contratos inteligentes es crucial, especialmente en lo que respecta a los permisos de modificación de roles clave como el keeper.
El mecanismo de verificación de las operaciones entre cadenas necesita ser más estricto y completo para prevenir datos de transacción maliciosamente construidos.
Las relaciones de llamada mutua y herencia de permisos entre contratos deben ser revisadas cuidadosamente para evitar elevaciones inesperadas de permisos.
Realizar auditorías de seguridad periódicas y un programa de recompensas por vulnerabilidades puede ayudar a detectar problemas de seguridad potenciales a tiempo.
Establecer un mecanismo de respuesta de emergencia para poder reaccionar y manejar rápidamente en caso de que ocurra un incidente de seguridad.
Este incidente ha sonado la alarma para toda la industria de blockchain, recordándonos que al perseguir la innovación y la eficiencia, no podemos pasar por alto la seguridad como piedra angular. Solo construyendo infraestructuras más robustas y seguras podremos impulsar verdaderamente la aplicación amplia y el desarrollo a largo plazo de la tecnología blockchain.