شبكة بولي تتعرض لهجوم هاكر: ثغرة تقنية تؤدي إلى خسائر ضخمة
مؤخراً، أثار الهجوم الذي تعرض له بروتوكول التشغيل البيني عبر السلاسل Poly Network اهتماماً واسعاً. وفقاً لتحليل الخبراء الأمنيين، لم يكن هذا الهجوم ناتجاً عن تسرب المفتاح الخاص، بل استغل المهاجمون ثغرة في العقد لتعديل المعايير الرئيسية، مما أتاح لهم السيطرة على الأموال.
تحليل مبادئ الهجوم
تكمن جوهر الهجوم في وجود ثغرة في دالة داخل عقد EthCrossChainManager. تتيح هذه الدالة تنفيذ معاملات عبر السلاسل محددة من قبل المستخدم، وقد نجح المهاجمون في تعديل عنوان دور keeper في عقد EthCrossChainData من خلال بيانات مُعدّة بعناية.
على وجه التحديد، استغل المهاجمون النقاط الرئيسية التالية:
يمكن لعقد EthCrossChainManager استدعاء وظائف معينة من عقد EthCrossChainData.
من خلال دالة verifyHeaderAndExecuteTx، يمكن للمهاجم تنفيذ معاملات عبر سلسلة مخصصة.
باستخدام هذه الآلية، يقوم المهاجم بتغيير عنوان دور keeper إلى عنوان يتحكم فيه.
بعد استبدال العنوان، يمكن للمهاجم سحب الأموال من العقد كما يشاء.
إعادة عملية الهجوم
قام المهاجمون أولاً بتغيير صلاحيات تشغيل keeper من خلال استدعاء دالة محددة. بعد ذلك، بدأ المهاجمون في إجراء العديد من المعاملات لسحب كميات كبيرة من الأموال من العقد. لم تحدث هذه السلسلة من العمليات فقط على سلسلة بينانس الذكية، بل تعرضت شبكة الإيثيريوم أيضًا لهجمات مشابهة.
بعد الانتهاء من الهجوم، وبسبب تعديل keeper، بدأت المعاملات العادية للمستخدمين الآخرين تُرفض من قبل النظام.
!
تأملات في الحدث
يكشف هذا الحدث عن ثغرة مهمة في تصميم العقود الذكية. تكمن جذور المشكلة في أن عقد EthCrossChainData يمكن تعديله بواسطة عقد EthCrossChainManager، والذي يمكنه بدوره تنفيذ البيانات المقدمة من قبل المستخدمين. يوفر هذا التصميم فرصة للمهاجمين.
تؤكد هذه الهجمة مرة أخرى على أهمية تصميم العقود وتدقيق الأمان في مشاريع البلوك تشين. إنها تذكرنا بأنه حتى العيوب التصميمية الصغيرة التي تبدو غير مهمة يمكن أن يستغلها هاكر، مما يؤدي إلى خسائر كبيرة.
بالنسبة لمشاريع البلوكشين، فإن تعزيز الوعي بالأمان، وتحسين عمليات مراجعة الشفرات، وإجراء تقييمات أمنية بشكل دوري هي تدابير ضرورية للغاية. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع التمويل اللامركزي، وأن يكونوا على دراية بالمخاطر المحتملة.
مع التطور المستمر لتكنولوجيا البلوكتشين، نتطلع إلى رؤية المزيد من الحلول الأمنية المبتكرة، فضلاً عن تحسين المعايير الصناعية تدريجياً، لبناء نظام بيئي للبلوكشين أكثر أماناً وموثوقية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
هجوم هاكر على شبكة بولي يكشف عن ثغرات كبيرة في العقود الذكية
شبكة بولي تتعرض لهجوم هاكر: ثغرة تقنية تؤدي إلى خسائر ضخمة
مؤخراً، أثار الهجوم الذي تعرض له بروتوكول التشغيل البيني عبر السلاسل Poly Network اهتماماً واسعاً. وفقاً لتحليل الخبراء الأمنيين، لم يكن هذا الهجوم ناتجاً عن تسرب المفتاح الخاص، بل استغل المهاجمون ثغرة في العقد لتعديل المعايير الرئيسية، مما أتاح لهم السيطرة على الأموال.
تحليل مبادئ الهجوم
تكمن جوهر الهجوم في وجود ثغرة في دالة داخل عقد EthCrossChainManager. تتيح هذه الدالة تنفيذ معاملات عبر السلاسل محددة من قبل المستخدم، وقد نجح المهاجمون في تعديل عنوان دور keeper في عقد EthCrossChainData من خلال بيانات مُعدّة بعناية.
على وجه التحديد، استغل المهاجمون النقاط الرئيسية التالية:
إعادة عملية الهجوم
قام المهاجمون أولاً بتغيير صلاحيات تشغيل keeper من خلال استدعاء دالة محددة. بعد ذلك، بدأ المهاجمون في إجراء العديد من المعاملات لسحب كميات كبيرة من الأموال من العقد. لم تحدث هذه السلسلة من العمليات فقط على سلسلة بينانس الذكية، بل تعرضت شبكة الإيثيريوم أيضًا لهجمات مشابهة.
بعد الانتهاء من الهجوم، وبسبب تعديل keeper، بدأت المعاملات العادية للمستخدمين الآخرين تُرفض من قبل النظام.
!
تأملات في الحدث
يكشف هذا الحدث عن ثغرة مهمة في تصميم العقود الذكية. تكمن جذور المشكلة في أن عقد EthCrossChainData يمكن تعديله بواسطة عقد EthCrossChainManager، والذي يمكنه بدوره تنفيذ البيانات المقدمة من قبل المستخدمين. يوفر هذا التصميم فرصة للمهاجمين.
تؤكد هذه الهجمة مرة أخرى على أهمية تصميم العقود وتدقيق الأمان في مشاريع البلوك تشين. إنها تذكرنا بأنه حتى العيوب التصميمية الصغيرة التي تبدو غير مهمة يمكن أن يستغلها هاكر، مما يؤدي إلى خسائر كبيرة.
بالنسبة لمشاريع البلوكشين، فإن تعزيز الوعي بالأمان، وتحسين عمليات مراجعة الشفرات، وإجراء تقييمات أمنية بشكل دوري هي تدابير ضرورية للغاية. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع التمويل اللامركزي، وأن يكونوا على دراية بالمخاطر المحتملة.
مع التطور المستمر لتكنولوجيا البلوكتشين، نتطلع إلى رؤية المزيد من الحلول الأمنية المبتكرة، فضلاً عن تحسين المعايير الصناعية تدريجياً، لبناء نظام بيئي للبلوكشين أكثر أماناً وموثوقية.