Analyse de l'incident d'attaque du Hacker sur le protocole Poly Network
Récemment, le protocole d'interopérabilité inter-chaînes Poly Network a subi une attaque de Hacker, suscitant une large attention dans l'industrie. L'équipe de sécurité a effectué une analyse approfondie de cet incident, estimant que les attaquants ont habilement construit des données pour modifier l'adresse du keeper du contrat EthCrossChainData, et non pas en raison de la fuite de la clé privée du keeper, comme cela avait été précédemment rapporté.
Attaque du noyau
La clé de l'attaque réside dans la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager. Cette fonction peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que le propriétaire du contrat EthCrossChainData est le contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de ce dernier pour modifier le gardien du contrat.
L'attaquant utilise la fonction verifyHeaderAndExecuteTx en transmettant des données soigneusement conçues, ce qui permet à la fonction _executeCrossChainTx d'appeler la fonction putCurEpochConPubKeyBytes du contrat EthCrossChainData, modifiant ainsi le rôle de keeper à l'adresse spécifiée par l'attaquant. Une fois cette étape complétée, l'attaquant peut construire des transactions à sa guise et retirer n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant a d'abord appelé la fonction putCurEpochConPubKeyBytes via la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager, modifiant ainsi le keeper.
Ensuite, l'attaquant a commencé à mettre en œuvre une série de transactions d'attaque pour extraire des fonds du contrat.
En raison de la modification du keeper, les transactions normales des autres utilisateurs ont été refusées.
Des méthodes d'attaque similaires ont également été appliquées sur le réseau Ethereum.
Conclusion
La cause fondamentale de cette attaque réside dans le fait que le keeper du contrat EthCrossChainData peut être modifié par le contrat EthCrossChainManager, dont la fonction verifyHeaderAndExecuteTx peut exécuter des données fournies par l'utilisateur. L'attaquant a exploité cette vulnérabilité en construisant des données spécifiques, réussissant ainsi à modifier l'adresse du keeper du contrat EthCrossChainData. Cette découverte clarifie les rumeurs erronées antérieures concernant la fuite de la clé privée du keeper.
Cet événement met de nouveau en évidence l'importance de la sécurité des protocoles inter-chaînes. Pour les systèmes de contrats intelligents complexes, en particulier pour les projets impliquant des opérations inter-chaînes, des audits de sécurité et des évaluations des risques plus rigoureux sont nécessaires. Cela rappelle également aux développeurs de projets blockchain de prêter une attention particulière à la gestion des autorisations et à la validation des données, afin de prévenir l'exploitation de failles de sécurité similaires.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
5
Reposter
Partager
Commentaire
0/400
failed_dev_successful_ape
· 08-15 16:03
gg le vieux pote a été transpercé par des chaînes
Voir l'originalRépondre0
OnChainArchaeologist
· 08-15 16:03
Il y a trop d'argent volé, je m'en vais, je m'en vais.
Voir l'originalRépondre0
retroactive_airdrop
· 08-15 16:01
Toute la journée, c'est des attaques.
Voir l'originalRépondre0
TeaTimeTrader
· 08-15 15:48
Arrête de faire semblant, ce sont tous des traîtres.
Voir l'originalRépondre0
DeadTrades_Walking
· 08-15 15:43
Les smart contracts ne servent à rien, ils sont piratés tous les jours.
Révélation des raisons de l'attaque du hacker de Poly Network : le keeper du contrat EthCrossChainData a été altéré.
Analyse de l'incident d'attaque du Hacker sur le protocole Poly Network
Récemment, le protocole d'interopérabilité inter-chaînes Poly Network a subi une attaque de Hacker, suscitant une large attention dans l'industrie. L'équipe de sécurité a effectué une analyse approfondie de cet incident, estimant que les attaquants ont habilement construit des données pour modifier l'adresse du keeper du contrat EthCrossChainData, et non pas en raison de la fuite de la clé privée du keeper, comme cela avait été précédemment rapporté.
Attaque du noyau
La clé de l'attaque réside dans la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager. Cette fonction peut exécuter des transactions inter-chaînes spécifiques via la fonction _executeCrossChainTx. Étant donné que le propriétaire du contrat EthCrossChainData est le contrat EthCrossChainManager, ce dernier peut appeler la fonction putCurEpochConPubKeyBytes de ce dernier pour modifier le gardien du contrat.
L'attaquant utilise la fonction verifyHeaderAndExecuteTx en transmettant des données soigneusement conçues, ce qui permet à la fonction _executeCrossChainTx d'appeler la fonction putCurEpochConPubKeyBytes du contrat EthCrossChainData, modifiant ainsi le rôle de keeper à l'adresse spécifiée par l'attaquant. Une fois cette étape complétée, l'attaquant peut construire des transactions à sa guise et retirer n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant a d'abord appelé la fonction putCurEpochConPubKeyBytes via la fonction verifyHeaderAndExecuteTx du contrat EthCrossChainManager, modifiant ainsi le keeper.
Ensuite, l'attaquant a commencé à mettre en œuvre une série de transactions d'attaque pour extraire des fonds du contrat.
En raison de la modification du keeper, les transactions normales des autres utilisateurs ont été refusées.
Des méthodes d'attaque similaires ont également été appliquées sur le réseau Ethereum.
Conclusion
La cause fondamentale de cette attaque réside dans le fait que le keeper du contrat EthCrossChainData peut être modifié par le contrat EthCrossChainManager, dont la fonction verifyHeaderAndExecuteTx peut exécuter des données fournies par l'utilisateur. L'attaquant a exploité cette vulnérabilité en construisant des données spécifiques, réussissant ainsi à modifier l'adresse du keeper du contrat EthCrossChainData. Cette découverte clarifie les rumeurs erronées antérieures concernant la fuite de la clé privée du keeper.
Cet événement met de nouveau en évidence l'importance de la sécurité des protocoles inter-chaînes. Pour les systèmes de contrats intelligents complexes, en particulier pour les projets impliquant des opérations inter-chaînes, des audits de sécurité et des évaluations des risques plus rigoureux sont nécessaires. Cela rappelle également aux développeurs de projets blockchain de prêter une attention particulière à la gestion des autorisations et à la validation des données, afin de prévenir l'exploitation de failles de sécurité similaires.