Poly Network saldırıya uğradı: akıllı sözleşmelerdeki açık, cross-chain güvenlik olayına yol açtı.

robot
Abstract generation in progress

Cross-chain protokol güvenlik açığı analizi: Poly Network saldırı olayı incelemesi

Son günlerde, cross-chain etkileşim protokolü Poly Network'e yönelik bir hacker saldırısı olayı sektörde geniş bir dikkat çekti. Güvenlik ekibinin analizine göre, bu saldırı keeper özel anahtarının sızmasından kaynaklanmıyor, aksine saldırganlar akıllı sözleşmedeki bir açığı ustaca kullandı.

Saldırı Çekirdeği

Saldırının anahtarı, EthCrossChainManager sözleşmesindeki verifyHeaderAndExecuteTx fonksiyonudur. Bu fonksiyon, _executeCrossChainTx fonksiyonu aracılığıyla belirli bir cross-chain işlemi gerçekleştirebilir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu, sözleşmenin keeper'ını değiştirmek için öncekini putCurEpochConPubKeyBytes fonksiyonunu çağırabilir.

Saldırı Süreci

  1. Saldırgan, verifyHeaderAndExecuteTx fonksiyonu aracılığıyla özenle tasarlanmış verileri iletir.

  2. Bu veriler _executeCrossChainTx fonksiyonunun EthCrossChainData kontratının putCurEpochConPubKeyBytes fonksiyonunu çağırmasını sağlar.

  3. Yukarıdaki işlemlerle, saldırgan keeper rolünü belirtilen adrese başarıyla değiştirdi.

  4. Keeper değişimi tamamlandıktan sonra, saldırganlar sözleşmeden istedikleri kadar para çekmek için rastgele işlemler oluşturabilir.

Saldırı Etkisi

Saldırıdan sonra, keeper'ın değiştirilmesi nedeniyle diğer kullanıcıların normal işlemleri reddedildi. Bu durum, Binance Akıllı Zinciri ve Ethereum dahil olmak üzere birçok blok zinciri ağında meydana geldi.

Güvenlik İpuçları

  1. Akıllı sözleşmelerin yetki yönetimi son derece önemlidir, özellikle de anahtar rolleri (örneğin keeper) ile ilgili değişiklik yetkileri.

  2. Cross-chain işlemlerinin güvenliği özel bir dikkat gerektirir, çünkü genellikle karmaşık etkileşimler ve yüksek değerli varlıklar içerir.

  3. Sözleşme fonksiyonlarının tasarımı, gerçekleştirilebilecek işlem kapsamını sıkı bir şekilde sınırlamalıdır, böylece saldırganlar tarafından kullanılabilecek güvenlik açıklarının ortaya çıkmasını önler.

  4. Güvenlik denetimleri ve zafiyet testlerinin düzenli olarak yapılması, potansiyel sorunların tespit edilmesi ve düzeltilmesi açısından kritik öneme sahiptir.

Bu olay, hızla gelişen blockchain ekosisteminde güvenliğin her zaman öncelikli bir husus olduğunu bir kez daha hatırlatıyor. Geliştiriciler ve proje sahipleri için, güvenlik önlemlerini sürekli geliştirmek ve kod kalitesini artırmak, kullanıcı varlıklarını korumanın anahtarıdır.

View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Reward
  • 5
  • Share
Comment
0/400
DefiSecurityGuardvip
· 07-29 04:55
mmm tipik bir keeper adresi istismarı... bunu öngörmüştüm aslında. cross-chain her zaman = honeypot olma bekliyor
View OriginalReply0
BlockchainBouncervip
· 07-26 16:18
Yine enayiler zor durumda kaldı.
View OriginalReply0
WenAirdropvip
· 07-26 16:12
Hem acemi hem de gösterişi seviyor
View OriginalReply0
BearMarketMonkvip
· 07-26 16:08
Yine dövüldü, hadi gösteriyi izleyelim.
View OriginalReply0
DAOdreamervip
· 07-26 16:08
Güvenlik denetimi tembelce yapılıyor, yönetim yetkileri kayıtsızca duruyor.
View OriginalReply0
Trade Crypto Anywhere Anytime
qrCode
Scan to download Gate app
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)