Poly Network büyük bir Hacker saldırısına uğradı: Güvenlik açığı nedeniyle büyük miktarda para kaybı
Son günlerde, çapraz zincir etkileşim protokolü Poly Network ciddi bir hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik uzmanları ekibi, bu olayı derinlemesine analiz ederek, saldırganların akıllı sözleşme açıklarını kullanarak kontrol elde etme yöntemlerini ortaya koydu.
Saldırının özü, EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonundaki güvenlik açığıdır. Bu fonksiyon, kullanıcı tarafından belirlenen çapraz zincir işlemlerini gerçekleştirmek için içindeki _executeCrossChainTx fonksiyonu aracılığıyla çalıştırılabilir. Saldırganlar, özenle yapılandırılmış veriler aracılığıyla bu açığı kullanarak EthCrossChainData sözleşmesindeki keeper rolünün adresini değiştirdi.
EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesidir, bu nedenle sonuncusu öncekisinin putCurEpochConPubKeyBytes fonksiyonunu çağırma yetkisine sahiptir. Saldırgan tam olarak bunu kullanarak, verifyHeaderAndExecuteTx fonksiyonuna özel veriler gönderdi ve böylece _executeCrossChainTx fonksiyonu EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak keeper rolünü saldırganın kontrolündeki adrese değiştirdi.
Keeper rolü adresi değiştirildikten sonra, saldırgan istediği gibi işlem oluşturabilir ve sözleşmeden herhangi bir miktarda fon çekebilir. Bu saldırı tekniği hem BSC hem de Ethereum ağlarında uygulanmıştır.
BSC ağı üzerinde, saldırgan ilk olarak bir işlemle keeper'ı değiştirdi, ardından birden fazla saldırı işlemi başlatarak fonları çekti. Bu, diğer kullanıcıların normal işlemlerinin reddedilmesine neden oldu. Ethereum ağı üzerindeki saldırı süreci de benzer şekilde gerçekleşti, saldırgan da önce keeper'ı değiştirdi, ardından fonları çekmek için saldırıyı uyguladı.
Uzmanlar, bu saldırının keeper özel anahtarının sızmasından kaynaklanmadığını, aksine akıllı sözleşmedeki tasarım hatasından kaynaklandığını vurguladı. EthCrossChainData sözleşmesinin keeper'ı, EthCrossChainManager sözleşmesi tarafından değiştirilebilir ve bu da kullanıcının ilettiği verilerin işlenmesine izin verir. Bu kombinasyon, saldırganlar için bir fırsat yaratmaktadır.
Bu olay, akıllı sözleşme güvenlik denetimlerinin önemini bir kez daha vurguladı. Geliştirme ekipleri, çapraz zincir birlikte çalışabilirlik protokolünü tasarlarken, bileşenler arasındaki etkileşimleri daha dikkatli bir şekilde düşünmeli ve kritik işlevler için sıkı erişim kontrolleri uygulamalıdır. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık düzeltmeleri, kullanıcı varlıklarını korumak için hayati öneme sahiptir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
20 Likes
Reward
20
6
Repost
Share
Comment
0/400
NeverPresent
· 07-26 09:38
akıllı sözleşmeler de pek Satoshi değil.
View OriginalReply0
NFTArtisanHQ
· 07-23 15:38
post-dijital paradigmada başka bir dikkat çekici hikaye... akıllı sözleşmeler, mimarları kadar zekidir aslında.
View OriginalReply0
AirdropNinja
· 07-23 15:30
Artık açığa çıkıyoruz, biz kripto para trade yapmak için buradayız.
Poly Network, hacker saldırısına uğradı. Akıllı sözleşmelerdeki açık nedeniyle büyük miktarda para kaybı yaşandı.
Poly Network büyük bir Hacker saldırısına uğradı: Güvenlik açığı nedeniyle büyük miktarda para kaybı
Son günlerde, çapraz zincir etkileşim protokolü Poly Network ciddi bir hacker saldırısına uğradı ve bu durum sektörde geniş bir ilgi uyandırdı. Güvenlik uzmanları ekibi, bu olayı derinlemesine analiz ederek, saldırganların akıllı sözleşme açıklarını kullanarak kontrol elde etme yöntemlerini ortaya koydu.
Saldırının özü, EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonundaki güvenlik açığıdır. Bu fonksiyon, kullanıcı tarafından belirlenen çapraz zincir işlemlerini gerçekleştirmek için içindeki _executeCrossChainTx fonksiyonu aracılığıyla çalıştırılabilir. Saldırganlar, özenle yapılandırılmış veriler aracılığıyla bu açığı kullanarak EthCrossChainData sözleşmesindeki keeper rolünün adresini değiştirdi.
EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesidir, bu nedenle sonuncusu öncekisinin putCurEpochConPubKeyBytes fonksiyonunu çağırma yetkisine sahiptir. Saldırgan tam olarak bunu kullanarak, verifyHeaderAndExecuteTx fonksiyonuna özel veriler gönderdi ve böylece _executeCrossChainTx fonksiyonu EthCrossChainData sözleşmesinin putCurEpochConPubKeyBytes fonksiyonunu çağırarak keeper rolünü saldırganın kontrolündeki adrese değiştirdi.
Keeper rolü adresi değiştirildikten sonra, saldırgan istediği gibi işlem oluşturabilir ve sözleşmeden herhangi bir miktarda fon çekebilir. Bu saldırı tekniği hem BSC hem de Ethereum ağlarında uygulanmıştır.
BSC ağı üzerinde, saldırgan ilk olarak bir işlemle keeper'ı değiştirdi, ardından birden fazla saldırı işlemi başlatarak fonları çekti. Bu, diğer kullanıcıların normal işlemlerinin reddedilmesine neden oldu. Ethereum ağı üzerindeki saldırı süreci de benzer şekilde gerçekleşti, saldırgan da önce keeper'ı değiştirdi, ardından fonları çekmek için saldırıyı uyguladı.
Uzmanlar, bu saldırının keeper özel anahtarının sızmasından kaynaklanmadığını, aksine akıllı sözleşmedeki tasarım hatasından kaynaklandığını vurguladı. EthCrossChainData sözleşmesinin keeper'ı, EthCrossChainManager sözleşmesi tarafından değiştirilebilir ve bu da kullanıcının ilettiği verilerin işlenmesine izin verir. Bu kombinasyon, saldırganlar için bir fırsat yaratmaktadır.
Bu olay, akıllı sözleşme güvenlik denetimlerinin önemini bir kez daha vurguladı. Geliştirme ekipleri, çapraz zincir birlikte çalışabilirlik protokolünü tasarlarken, bileşenler arasındaki etkileşimleri daha dikkatli bir şekilde düşünmeli ve kritik işlevler için sıkı erişim kontrolleri uygulamalıdır. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık düzeltmeleri, kullanıcı varlıklarını korumak için hayati öneme sahiptir.