Giao thức tương tác chéo Poly Network gần đây đã gặp phải một sự cố an ninh nghiêm trọng, gây ra sự quan tâm rộng rãi trong ngành. Theo phân tích của đội ngũ an ninh, cuộc tấn công lần này không phải do rò rỉ khóa riêng của keeper mà là do kẻ tấn công đã khai thác lỗ hổng trong hợp đồng thông minh.
Nguyên lý tấn công
Tâm điểm của cuộc tấn công nằm ở việc hàm verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager có thể thực hiện các giao dịch xuyên chuỗi cụ thể thông qua hàm _executeCrossChainTx. Bởi vì chủ sở hữu của hợp đồng EthCrossChainData là hợp đồng EthCrossChainManager, nên hợp đồng sau có thể gọi hàm putCurEpochConPubKeyBytes của hợp đồng trước để thay đổi keeper của hợp đồng.
Kẻ tấn công đã truyền dữ liệu được xây dựng cẩn thận vào hàm verifyHeaderAndExecuteTx, khiến hàm _executeCrossChainTx thực hiện thao tác sửa đổi keeper, thay đổi nó thành địa chỉ do kẻ tấn công kiểm soát. Sau khi hoàn thành bước này, kẻ tấn công có thể tự do xây dựng giao dịch và rút bất kỳ số tiền nào từ hợp đồng.
Quy trình tấn công
Kẻ tấn công trước tiên gọi hàm putCurEpochConPubKeyBytes thông qua hàm verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager, để thay đổi keeper.
Sau đó, kẻ tấn công đã lợi dụng quyền keeper mới để thực hiện nhiều giao dịch tấn công, rút ra một số lượng lớn tiền từ hợp đồng.
Do keeper bị chỉnh sửa, các giao dịch bình thường của người dùng khác sau đó bị hệ thống từ chối.
Mô hình tấn công này cũng đã được thực hiện tương tự trên mạng Ethereum.
Tác động sự kiện
Sự kiện tấn công lần này đã phơi bày những lỗ hổng bảo mật nghiêm trọng trong giao thức chuỗi chéo. Nó không chỉ gây ra thiệt hại tài chính lớn mà còn ảnh hưởng đến sự vận hành bình thường của toàn bộ hệ sinh thái. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc chú trọng đến an ninh và kiểm toán mã nguồn khi thiết kế và triển khai giao thức chuỗi chéo.
Những gợi ý về an toàn
Quản lý quyền trong hợp đồng thông minh rất quan trọng, đặc biệt là quyền sửa đổi liên quan đến các vai trò quan trọng như keeper.
Cơ chế xác thực cho các hoạt động liên chuỗi cần chặt chẽ và toàn diện hơn để ngăn chặn dữ liệu giao dịch được tạo ra một cách độc hại.
Các mối quan hệ gọi lẫn nhau và kế thừa quyền giữa các hợp đồng cần được xem xét kỹ lưỡng, tránh xảy ra sự nâng cao quyền bất ngờ.
Thực hiện kiểm toán bảo mật định kỳ và chương trình thưởng lỗi có thể giúp phát hiện sớm các vấn đề bảo mật tiềm ẩn.
Thiết lập cơ chế phản ứng khẩn cấp để có thể phản ứng và xử lý nhanh chóng khi xảy ra sự kiện an ninh.
Sự kiện này đã vang lên hồi chuông cảnh báo cho toàn bộ ngành công nghiệp blockchain, nhắc nhở chúng ta rằng trong khi theo đuổi đổi mới và hiệu quả, không được coi nhẹ tính an toàn này. Chỉ khi xây dựng cơ sở hạ tầng mạnh mẽ và an toàn hơn, chúng ta mới có thể thực sự thúc đẩy việc áp dụng rộng rãi và phát triển lâu dài của công nghệ blockchain.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
6
Đăng lại
Chia sẻ
Bình luận
0/400
FloorSweeper
· 2giờ trước
Trời ơi, lại một đồ ngốc bị chơi đùa với mọi người.
Xem bản gốcTrả lời0
DoomCanister
· 3giờ trước
Được chơi cho Suckers tay nghề lại đến rồi
Xem bản gốcTrả lời0
ImpermanentPhilosopher
· 08-14 04:39
Hợp đồng lại gặp sự cố rồi, đây không phải là lần đầu tiên đúng không?
Xem bản gốcTrả lời0
MrDecoder
· 08-14 04:38
Lại là hợp đồng chảo à? Vấn đề cũ rồi.
Xem bản gốcTrả lời0
DeFiGrayling
· 08-14 04:38
Lại đen lại đen, vòng xoáy tử thần rồi fam
Xem bản gốcTrả lời0
RadioShackKnight
· 08-14 04:30
Cả vụng về cả thích chơi? Thật không chuyên nghiệp chút nào.
Lỗi hợp đồng của Poly Network bị Hacker tấn công, thiệt hại tài sản đa chuỗi rất lớn.
Phân tích sự kiện Poly Network bị Hacker tấn công
Giao thức tương tác chéo Poly Network gần đây đã gặp phải một sự cố an ninh nghiêm trọng, gây ra sự quan tâm rộng rãi trong ngành. Theo phân tích của đội ngũ an ninh, cuộc tấn công lần này không phải do rò rỉ khóa riêng của keeper mà là do kẻ tấn công đã khai thác lỗ hổng trong hợp đồng thông minh.
Nguyên lý tấn công
Tâm điểm của cuộc tấn công nằm ở việc hàm verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager có thể thực hiện các giao dịch xuyên chuỗi cụ thể thông qua hàm _executeCrossChainTx. Bởi vì chủ sở hữu của hợp đồng EthCrossChainData là hợp đồng EthCrossChainManager, nên hợp đồng sau có thể gọi hàm putCurEpochConPubKeyBytes của hợp đồng trước để thay đổi keeper của hợp đồng.
Kẻ tấn công đã truyền dữ liệu được xây dựng cẩn thận vào hàm verifyHeaderAndExecuteTx, khiến hàm _executeCrossChainTx thực hiện thao tác sửa đổi keeper, thay đổi nó thành địa chỉ do kẻ tấn công kiểm soát. Sau khi hoàn thành bước này, kẻ tấn công có thể tự do xây dựng giao dịch và rút bất kỳ số tiền nào từ hợp đồng.
Quy trình tấn công
Kẻ tấn công trước tiên gọi hàm putCurEpochConPubKeyBytes thông qua hàm verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager, để thay đổi keeper.
Sau đó, kẻ tấn công đã lợi dụng quyền keeper mới để thực hiện nhiều giao dịch tấn công, rút ra một số lượng lớn tiền từ hợp đồng.
Do keeper bị chỉnh sửa, các giao dịch bình thường của người dùng khác sau đó bị hệ thống từ chối.
Mô hình tấn công này cũng đã được thực hiện tương tự trên mạng Ethereum.
Tác động sự kiện
Sự kiện tấn công lần này đã phơi bày những lỗ hổng bảo mật nghiêm trọng trong giao thức chuỗi chéo. Nó không chỉ gây ra thiệt hại tài chính lớn mà còn ảnh hưởng đến sự vận hành bình thường của toàn bộ hệ sinh thái. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc chú trọng đến an ninh và kiểm toán mã nguồn khi thiết kế và triển khai giao thức chuỗi chéo.
Những gợi ý về an toàn
Quản lý quyền trong hợp đồng thông minh rất quan trọng, đặc biệt là quyền sửa đổi liên quan đến các vai trò quan trọng như keeper.
Cơ chế xác thực cho các hoạt động liên chuỗi cần chặt chẽ và toàn diện hơn để ngăn chặn dữ liệu giao dịch được tạo ra một cách độc hại.
Các mối quan hệ gọi lẫn nhau và kế thừa quyền giữa các hợp đồng cần được xem xét kỹ lưỡng, tránh xảy ra sự nâng cao quyền bất ngờ.
Thực hiện kiểm toán bảo mật định kỳ và chương trình thưởng lỗi có thể giúp phát hiện sớm các vấn đề bảo mật tiềm ẩn.
Thiết lập cơ chế phản ứng khẩn cấp để có thể phản ứng và xử lý nhanh chóng khi xảy ra sự kiện an ninh.
Sự kiện này đã vang lên hồi chuông cảnh báo cho toàn bộ ngành công nghiệp blockchain, nhắc nhở chúng ta rằng trong khi theo đuổi đổi mới và hiệu quả, không được coi nhẹ tính an toàn này. Chỉ khi xây dựng cơ sở hạ tầng mạnh mẽ và an toàn hơn, chúng ta mới có thể thực sự thúc đẩy việc áp dụng rộng rãi và phát triển lâu dài của công nghệ blockchain.