Analisis Kerentanan Keamanan Protokol Cross-Chain: Penjelasan Peristiwa Serangan Poly Network
Baru-baru ini, sebuah insiden serangan hacker terhadap protokol interoperabilitas lintas rantai Poly Network telah menarik perhatian luas di industri. Menurut analisis tim keamanan, serangan kali ini tidak disebabkan oleh kebocoran kunci pribadi keeper, melainkan penyerang dengan cerdik memanfaatkan celah dalam kontrak pintar.
Inti Serangan
Kunci dari serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper kontrak.
Proses Serangan
Penyerang mengirimkan data yang dirancang dengan cermat melalui fungsi verifyHeaderAndExecuteTx.
Data ini membuat fungsi _executeCrossChainTx memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData.
Melalui operasi di atas, penyerang berhasil mengubah peran keeper menjadi alamat yang ditentukan.
Setelah menyelesaikan penggantian keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana apa pun dari kontrak.
Dampak Serangan
Setelah serangan terjadi, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi. Situasi ini telah terjadi di beberapa jaringan blockchain, termasuk Binance Smart Chain dan Ethereum.
Pencerahan Keamanan
Manajemen hak akses kontrak pintar sangat penting, terutama yang melibatkan hak akses untuk mengubah peran kunci (seperti keeper).
Keamanan operasi cross-chain perlu diperhatikan secara khusus, karena biasanya melibatkan interaksi yang kompleks dan aset bernilai tinggi.
Desain fungsi kontrak harus secara ketat membatasi ruang lingkup operasi yang dapat dieksekusi, untuk menghindari adanya kerentanan yang dapat dimanfaatkan oleh penyerang.
Melakukan audit keamanan dan deteksi kerentanan secara berkala sangat penting untuk menemukan dan memperbaiki masalah potensial.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam ekosistem blockchain yang berkembang pesat, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Bagi pengembang dan pihak proyek, terus meningkatkan langkah-langkah keamanan dan meningkatkan kualitas kode adalah kunci untuk melindungi aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
19 Suka
Hadiah
19
5
Bagikan
Komentar
0/400
DefiSecurityGuard
· 07-29 04:55
mmm alamat keeper yang biasa dieksploitasi... saya sudah melihat ini akan terjadi sejujurnya. cross-chain selalu = honeypot yang menunggu untuk terjadi
Lihat AsliBalas0
BlockchainBouncer
· 07-26 16:18
Sekali lagi, para suckers mengalami kesulitan.
Lihat AsliBalas0
WenAirdrop
· 07-26 16:12
Sama sekali tidak mahir tetapi suka berpura-pura.
Lihat AsliBalas0
BearMarketMonk
· 07-26 16:08
Dipukul lagi, nonton pertunjukan.
Lihat AsliBalas0
DAOdreamer
· 07-26 16:08
Audit keamanan dilakukan dengan malas, hak akses dibiarkan begitu saja.
Poly Network diserang: kerentanan smart contract menyebabkan insiden keamanan cross-chain
Analisis Kerentanan Keamanan Protokol Cross-Chain: Penjelasan Peristiwa Serangan Poly Network
Baru-baru ini, sebuah insiden serangan hacker terhadap protokol interoperabilitas lintas rantai Poly Network telah menarik perhatian luas di industri. Menurut analisis tim keamanan, serangan kali ini tidak disebabkan oleh kebocoran kunci pribadi keeper, melainkan penyerang dengan cerdik memanfaatkan celah dalam kontrak pintar.
Inti Serangan
Kunci dari serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper kontrak.
Proses Serangan
Penyerang mengirimkan data yang dirancang dengan cermat melalui fungsi verifyHeaderAndExecuteTx.
Data ini membuat fungsi _executeCrossChainTx memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData.
Melalui operasi di atas, penyerang berhasil mengubah peran keeper menjadi alamat yang ditentukan.
Setelah menyelesaikan penggantian keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana apa pun dari kontrak.
Dampak Serangan
Setelah serangan terjadi, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi. Situasi ini telah terjadi di beberapa jaringan blockchain, termasuk Binance Smart Chain dan Ethereum.
Pencerahan Keamanan
Manajemen hak akses kontrak pintar sangat penting, terutama yang melibatkan hak akses untuk mengubah peran kunci (seperti keeper).
Keamanan operasi cross-chain perlu diperhatikan secara khusus, karena biasanya melibatkan interaksi yang kompleks dan aset bernilai tinggi.
Desain fungsi kontrak harus secara ketat membatasi ruang lingkup operasi yang dapat dieksekusi, untuk menghindari adanya kerentanan yang dapat dimanfaatkan oleh penyerang.
Melakukan audit keamanan dan deteksi kerentanan secara berkala sangat penting untuk menemukan dan memperbaiki masalah potensial.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam ekosistem blockchain yang berkembang pesat, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Bagi pengembang dan pihak proyek, terus meningkatkan langkah-langkah keamanan dan meningkatkan kualitas kode adalah kunci untuk melindungi aset pengguna.