Poly Network sofre um grande ataque de Hacker: vulnerabilidades de segurança levam a perdas financeiras significativas
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um grave ataque de hacker, atraindo ampla atenção da indústria. Uma equipe de especialistas em segurança realizou uma análise aprofundada deste incidente, revelando as técnicas específicas utilizadas pelos atacantes para obter controle através de vulnerabilidades em contratos inteligentes.
O núcleo do ataque reside na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, que apresenta uma vulnerabilidade de segurança. Esta função pode executar transações cross-chain especificadas pelo usuário através da função interna _executeCrossChainTx. O atacante, utilizando dados cuidadosamente elaborados, explorou essa vulnerabilidade para modificar o endereço do papel de keeper no contrato EthCrossChainData.
O proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, portanto, este último tem o direito de chamar a função putCurEpochConPubKeyBytes do primeiro para alterar o keeper. O atacante explorou exatamente isso, passando dados personalizados através da função verifyHeaderAndExecuteTx, fazendo com que a função _executeCrossChainTx chamasse a função putCurEpochConPubKeyBytes do contrato EthCrossChainData, mudando assim o papel de keeper para um endereço controlado pelo atacante.
Após a substituição do endereço do papel de keeper, o atacante pode construir transações à vontade, retirando qualquer quantidade de fundos do contrato. Essa técnica de ataque foi utilizada nas redes BSC e Ethereum.
Na rede BSC, o atacante primeiro alterou o keeper através de uma transação e, em seguida, iniciou várias transações de ataque para retirar fundos. Isso levou à recusa da execução de transações normais de outros usuários. O processo de ataque na rede Ethereum é semelhante, onde o atacante também altera o keeper primeiro e depois implementa o ataque para retirar fundos.
Os especialistas enfatizam que este ataque não foi causado pela exposição da chave privada do keeper, mas sim originado de uma falha de design no contrato inteligente. O contrato EthCrossChainData pode ser modificado pelo contrato EthCrossChainManager, que por sua vez permite a execução dos dados fornecidos pelo usuário, criando assim uma oportunidade para os atacantes.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. A equipe de desenvolvimento deve considerar com mais cautela as interações entre os diversos componentes ao projetar protocolos de interoperabilidade entre cadeias, e implementar um controle rigoroso de permissões para funcionalidades críticas. Ao mesmo tempo, a monitorização contínua de segurança e a correção oportuna de vulnerabilidades são fundamentais para proteger os ativos dos usuários.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
20 gostos
Recompensa
20
6
Republicar
Partilhar
Comentar
0/400
NeverPresent
· 07-26 09:38
contratos inteligentes também não são muito Satoshi.
Ver originalResponder0
NFTArtisanHQ
· 07-23 15:38
outra história de precaução no paradigma pós-digital... contratos inteligentes são apenas tão inteligentes quanto os seus arquitetos, para ser sincero
Ver originalResponder0
AirdropNinja
· 07-23 15:30
A verdade é que estamos aqui para negociar criptomoedas.
A Poly Network foi atacada por um Hacker, e uma falha em contratos inteligentes causou grandes perdas financeiras.
Poly Network sofre um grande ataque de Hacker: vulnerabilidades de segurança levam a perdas financeiras significativas
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um grave ataque de hacker, atraindo ampla atenção da indústria. Uma equipe de especialistas em segurança realizou uma análise aprofundada deste incidente, revelando as técnicas específicas utilizadas pelos atacantes para obter controle através de vulnerabilidades em contratos inteligentes.
O núcleo do ataque reside na função verifyHeaderAndExecuteTx do contrato EthCrossChainManager, que apresenta uma vulnerabilidade de segurança. Esta função pode executar transações cross-chain especificadas pelo usuário através da função interna _executeCrossChainTx. O atacante, utilizando dados cuidadosamente elaborados, explorou essa vulnerabilidade para modificar o endereço do papel de keeper no contrato EthCrossChainData.
O proprietário do contrato EthCrossChainData é o contrato EthCrossChainManager, portanto, este último tem o direito de chamar a função putCurEpochConPubKeyBytes do primeiro para alterar o keeper. O atacante explorou exatamente isso, passando dados personalizados através da função verifyHeaderAndExecuteTx, fazendo com que a função _executeCrossChainTx chamasse a função putCurEpochConPubKeyBytes do contrato EthCrossChainData, mudando assim o papel de keeper para um endereço controlado pelo atacante.
Após a substituição do endereço do papel de keeper, o atacante pode construir transações à vontade, retirando qualquer quantidade de fundos do contrato. Essa técnica de ataque foi utilizada nas redes BSC e Ethereum.
Na rede BSC, o atacante primeiro alterou o keeper através de uma transação e, em seguida, iniciou várias transações de ataque para retirar fundos. Isso levou à recusa da execução de transações normais de outros usuários. O processo de ataque na rede Ethereum é semelhante, onde o atacante também altera o keeper primeiro e depois implementa o ataque para retirar fundos.
Os especialistas enfatizam que este ataque não foi causado pela exposição da chave privada do keeper, mas sim originado de uma falha de design no contrato inteligente. O contrato EthCrossChainData pode ser modificado pelo contrato EthCrossChainManager, que por sua vez permite a execução dos dados fornecidos pelo usuário, criando assim uma oportunidade para os atacantes.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. A equipe de desenvolvimento deve considerar com mais cautela as interações entre os diversos componentes ao projetar protocolos de interoperabilidade entre cadeias, e implementar um controle rigoroso de permissões para funcionalidades críticas. Ao mesmo tempo, a monitorização contínua de segurança e a correção oportuna de vulnerabilidades são fundamentais para proteger os ativos dos usuários.