Poly Network sufre un ataque de Hacker: una vulnerabilidad técnica provoca enormes pérdidas
Recientemente, el incidente de ataque hacker al protocolo de interoperabilidad entre cadenas Poly Network ha suscitado una amplia atención. Según el análisis de expertos en seguridad, este ataque no fue causado por la filtración de una clave privada, sino que los atacantes explotaron una vulnerabilidad en el contrato para modificar parámetros clave y así obtener el control de los fondos.
Análisis del principio del ataque
El núcleo del ataque radica en una vulnerabilidad de función en el contrato EthCrossChainManager. Esta función permite ejecutar transacciones intercadena especificadas por el usuario, y el atacante, a través de datos cuidadosamente elaborados, logró modificar con éxito la dirección del rol de keeper en el contrato EthCrossChainData.
En concreto, los atacantes aprovecharon los siguientes puntos clave:
El contrato EthCrossChainManager puede llamar a funciones específicas del contrato EthCrossChainData.
A través de la función verifyHeaderAndExecuteTx, el atacante puede ejecutar transacciones intercadena personalizadas.
Utilizando este mecanismo, el atacante cambiará la dirección del rol de keeper a una dirección que controla.
Después de completar el reemplazo de la dirección, el atacante puede extraer libremente los fondos del contrato.
Restauración del proceso de ataque
El atacante primero cambió los permisos de operación del keeper mediante una llamada a una función específica. Luego, el atacante realizó múltiples transacciones para retirar grandes cantidades de fondos del contrato. Esta serie de operaciones no solo ocurrió en la cadena inteligente de Binance, sino que la red de Ethereum también sufrió ataques similares.
Después de que se completó el ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios comenzaron a ser rechazadas por el sistema.
Reflexión sobre el evento
Este incidente revela una vulnerabilidad importante en el diseño de contratos inteligentes. La raíz del problema radica en que el keeper del contrato EthCrossChainData puede ser modificado por el contrato EthCrossChainManager, que a su vez puede ejecutar los datos proporcionados por el usuario. Este diseño ofrece una oportunidad para que los atacantes aprovechen.
Este ataque enfatiza una vez más la importancia del diseño de contratos y la auditoría de seguridad en los proyectos de blockchain. Nos recuerda que incluso un defecto de diseño que parece pequeño puede ser explotado por un Hacker, causando grandes pérdidas.
Para los proyectos de blockchain, es muy necesario fortalecer la conciencia de seguridad, mejorar el proceso de auditoría del código y realizar evaluaciones de seguridad de forma regular. Al mismo tiempo, los usuarios que participan en proyectos de finanzas descentralizadas también deben mantenerse alerta y comprender los riesgos potenciales.
Con el continuo desarrollo de la tecnología blockchain, esperamos ver más soluciones de seguridad innovadoras, así como la mejora gradual de los estándares de la industria, para construir juntos un ecosistema blockchain más seguro y fiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El ataque de Hacker a Poly Network revela una grave vulnerabilidad en los contratos inteligentes
Poly Network sufre un ataque de Hacker: una vulnerabilidad técnica provoca enormes pérdidas
Recientemente, el incidente de ataque hacker al protocolo de interoperabilidad entre cadenas Poly Network ha suscitado una amplia atención. Según el análisis de expertos en seguridad, este ataque no fue causado por la filtración de una clave privada, sino que los atacantes explotaron una vulnerabilidad en el contrato para modificar parámetros clave y así obtener el control de los fondos.
Análisis del principio del ataque
El núcleo del ataque radica en una vulnerabilidad de función en el contrato EthCrossChainManager. Esta función permite ejecutar transacciones intercadena especificadas por el usuario, y el atacante, a través de datos cuidadosamente elaborados, logró modificar con éxito la dirección del rol de keeper en el contrato EthCrossChainData.
En concreto, los atacantes aprovecharon los siguientes puntos clave:
Restauración del proceso de ataque
El atacante primero cambió los permisos de operación del keeper mediante una llamada a una función específica. Luego, el atacante realizó múltiples transacciones para retirar grandes cantidades de fondos del contrato. Esta serie de operaciones no solo ocurrió en la cadena inteligente de Binance, sino que la red de Ethereum también sufrió ataques similares.
Después de que se completó el ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios comenzaron a ser rechazadas por el sistema.
Reflexión sobre el evento
Este incidente revela una vulnerabilidad importante en el diseño de contratos inteligentes. La raíz del problema radica en que el keeper del contrato EthCrossChainData puede ser modificado por el contrato EthCrossChainManager, que a su vez puede ejecutar los datos proporcionados por el usuario. Este diseño ofrece una oportunidad para que los atacantes aprovechen.
Este ataque enfatiza una vez más la importancia del diseño de contratos y la auditoría de seguridad en los proyectos de blockchain. Nos recuerda que incluso un defecto de diseño que parece pequeño puede ser explotado por un Hacker, causando grandes pérdidas.
Para los proyectos de blockchain, es muy necesario fortalecer la conciencia de seguridad, mejorar el proceso de auditoría del código y realizar evaluaciones de seguridad de forma regular. Al mismo tiempo, los usuarios que participan en proyectos de finanzas descentralizadas también deben mantenerse alerta y comprender los riesgos potenciales.
Con el continuo desarrollo de la tecnología blockchain, esperamos ver más soluciones de seguridad innovadoras, así como la mejora gradual de los estándares de la industria, para construir juntos un ecosistema blockchain más seguro y fiable.