Analisis Insiden Serangan Hacker pada Poly Network
Protokol interoperabilitas lintas rantai Poly Network baru-baru ini mengalami insiden keamanan serius yang menarik perhatian luas di industri. Menurut analisis tim keamanan, serangan kali ini bukan disebabkan oleh kebocoran kunci pribadi keeper, tetapi oleh penyerang yang memanfaatkan celah dalam kontrak pintar.
Prinsip Serangan
Inti dari serangan adalah bahwa fungsi verifyHeaderAndExecuteTx pada kontrak EthCrossChainManager dapat menjalankan transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes milik yang pertama untuk mengubah keeper kontrak.
Penyerang mengirimkan data yang disusun dengan cermat ke fungsi verifyHeaderAndExecuteTx, sehingga fungsi _executeCrossChainTx mengeksekusi operasi yang mengubah keeper menjadi alamat yang dikendalikan oleh penyerang. Setelah langkah ini selesai, penyerang dapat dengan bebas menyusun transaksi untuk menarik sejumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager, dan mengubah keeper.
Selanjutnya, penyerang memanfaatkan izin keeper baru untuk melakukan beberapa transaksi serangan, dan menarik sejumlah besar dana dari kontrak.
Karena keeper telah dimodifikasi, transaksi normal pengguna lain kemudian ditolak oleh sistem.
Pola serangan ini juga dilakukan dengan cara serupa di jaringan Ethereum.
Dampak Peristiwa
Insiden serangan kali ini mengungkapkan celah keamanan yang signifikan dalam protokol lintas rantai. Ini tidak hanya menyebabkan kerugian dana yang besar, tetapi juga mempengaruhi operasi normal seluruh ekosistem. Peristiwa ini sekali lagi menekankan pentingnya memperhatikan keamanan dan audit kode saat merancang dan mengimplementasikan protokol lintas rantai.
Pengungkapan Keamanan
Manajemen hak akses dalam kontrak pintar sangat penting, terutama yang melibatkan peran kunci seperti hak akses pemelihara.
Mekanisme verifikasi operasi lintas rantai perlu lebih ketat dan komprehensif untuk mencegah data transaksi yang disusun secara jahat.
Hubungan saling memanggil dan warisan izin antar kontrak harus diperiksa dengan cermat untuk menghindari peningkatan izin yang tidak terduga.
Melakukan audit keamanan secara berkala dan program hadiah untuk menemukan celah dapat membantu mendeteksi masalah keamanan potensial lebih awal.
Membangun mekanisme respons darurat agar dapat merespons dan menangani dengan cepat saat terjadi insiden keamanan.
Peristiwa kali ini memberikan peringatan keras bagi seluruh industri blockchain, mengingatkan kita bahwa dalam mengejar inovasi dan efisiensi, kita tidak boleh mengabaikan keamanan sebagai fondasi. Hanya dengan membangun infrastruktur yang lebih kuat dan aman, kita dapat benar-benar mendorong penerapan teknologi blockchain yang luas dan perkembangan jangka panjang.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
4
Posting ulang
Bagikan
Komentar
0/400
ImpermanentPhilosopher
· 08-14 04:39
Kontraknya bermasalah lagi. Ini bukan yang pertama kalinya, kan?
Lihat AsliBalas0
MrDecoder
· 08-14 04:38
Apakah ini lagi kontrak panci? Masalah lama lagi.
Lihat AsliBalas0
DeFiGrayling
· 08-14 04:38
Sangat gelap, spiral kematian sudah terjadi, fam
Lihat AsliBalas0
RadioShackKnight
· 08-14 04:30
Juga tidak pandai dan suka bermain? Sangat tidak profesional ya.
Kerentanan kontrak Poly Network diserang oleh Hacker, kerugian aset multi-rantai sangat besar
Analisis Insiden Serangan Hacker pada Poly Network
Protokol interoperabilitas lintas rantai Poly Network baru-baru ini mengalami insiden keamanan serius yang menarik perhatian luas di industri. Menurut analisis tim keamanan, serangan kali ini bukan disebabkan oleh kebocoran kunci pribadi keeper, tetapi oleh penyerang yang memanfaatkan celah dalam kontrak pintar.
Prinsip Serangan
Inti dari serangan adalah bahwa fungsi verifyHeaderAndExecuteTx pada kontrak EthCrossChainManager dapat menjalankan transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes milik yang pertama untuk mengubah keeper kontrak.
Penyerang mengirimkan data yang disusun dengan cermat ke fungsi verifyHeaderAndExecuteTx, sehingga fungsi _executeCrossChainTx mengeksekusi operasi yang mengubah keeper menjadi alamat yang dikendalikan oleh penyerang. Setelah langkah ini selesai, penyerang dapat dengan bebas menyusun transaksi untuk menarik sejumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager, dan mengubah keeper.
Selanjutnya, penyerang memanfaatkan izin keeper baru untuk melakukan beberapa transaksi serangan, dan menarik sejumlah besar dana dari kontrak.
Karena keeper telah dimodifikasi, transaksi normal pengguna lain kemudian ditolak oleh sistem.
Pola serangan ini juga dilakukan dengan cara serupa di jaringan Ethereum.
Dampak Peristiwa
Insiden serangan kali ini mengungkapkan celah keamanan yang signifikan dalam protokol lintas rantai. Ini tidak hanya menyebabkan kerugian dana yang besar, tetapi juga mempengaruhi operasi normal seluruh ekosistem. Peristiwa ini sekali lagi menekankan pentingnya memperhatikan keamanan dan audit kode saat merancang dan mengimplementasikan protokol lintas rantai.
Pengungkapan Keamanan
Manajemen hak akses dalam kontrak pintar sangat penting, terutama yang melibatkan peran kunci seperti hak akses pemelihara.
Mekanisme verifikasi operasi lintas rantai perlu lebih ketat dan komprehensif untuk mencegah data transaksi yang disusun secara jahat.
Hubungan saling memanggil dan warisan izin antar kontrak harus diperiksa dengan cermat untuk menghindari peningkatan izin yang tidak terduga.
Melakukan audit keamanan secara berkala dan program hadiah untuk menemukan celah dapat membantu mendeteksi masalah keamanan potensial lebih awal.
Membangun mekanisme respons darurat agar dapat merespons dan menangani dengan cepat saat terjadi insiden keamanan.
Peristiwa kali ini memberikan peringatan keras bagi seluruh industri blockchain, mengingatkan kita bahwa dalam mengejar inovasi dan efisiensi, kita tidak boleh mengabaikan keamanan sebagai fondasi. Hanya dengan membangun infrastruktur yang lebih kuat dan aman, kita dapat benar-benar mendorong penerapan teknologi blockchain yang luas dan perkembangan jangka panjang.