Poly Network a subi une attaque de hacker : une vulnérabilité technique a entraîné des pertes massives
Récemment, l'incident d'attaque du hacker sur le protocole d'interopérabilité inter-chaînes Poly Network a suscité une large attention. Selon l'analyse des experts en sécurité, cette attaque n'a pas été causée par une fuite de clé privée, mais par l'exploitation d'une vulnérabilité de contrat par l'attaquant pour modifier des paramètres clés, lui permettant ainsi d'obtenir le contrôle des fonds.
Analyse des principes d'attaque
Le cœur de l'attaque réside dans une vulnérabilité de fonction dans le contrat EthCrossChainManager. Cette fonction permet d'exécuter des transactions inter-chaînes spécifiées par l'utilisateur, et l'attaquant a réussi à modifier l'adresse du rôle de keeper dans le contrat EthCrossChainData grâce à des données soigneusement construites.
Plus précisément, les attaquants ont exploité plusieurs points clés :
Le contrat EthCrossChainManager peut appeler des fonctions spécifiques du contrat EthCrossChainData.
Grâce à la fonction verifyHeaderAndExecuteTx, un hacker peut exécuter des transactions inter-chaînes personnalisées.
En utilisant ce mécanisme, l'attaquant change l'adresse du rôle de keeper par une adresse qu'il contrôle.
Une fois le remplacement de l'adresse terminé, l'attaquant peut extraire à volonté des fonds du contrat.
Rétablissement du processus d'attaque
L'attaquant a d'abord modifié les privilèges d'opération du keeper en appelant une fonction spécifique. Ensuite, l'attaquant a lancé plusieurs transactions pour retirer d'importants fonds du contrat. Cette série d'opérations ne s'est pas seulement produite sur la Binance Smart Chain, mais le réseau Ethereum a également subi des attaques similaires.
Après l'attaque, en raison de la modification du keeper, les transactions normales des autres utilisateurs ont commencé à être refusées par le système.
Réflexion sur l'événement
Cet événement révèle une vulnérabilité importante dans la conception des contrats intelligents. La racine du problème réside dans le fait que le keeper du contrat EthCrossChainData peut être modifié par le contrat EthCrossChainManager, qui peut à son tour exécuter les données fournies par l'utilisateur. Cette conception offre une opportunité aux attaquants.
Cette attaque souligne à nouveau l'importance de la conception des contrats et de l'audit de sécurité dans les projets blockchain. Elle nous rappelle que même les défauts de conception apparemment mineurs peuvent être exploités par des hackeurs, entraînant des pertes considérables.
Pour les projets de blockchain, il est très nécessaire de renforcer la sensibilisation à la sécurité, d'améliorer le processus de révision du code et d'effectuer des évaluations de sécurité régulières. En même temps, les utilisateurs participant à des projets de finance décentralisée doivent également rester vigilants et comprendre les risques potentiels.
Avec le développement continu de la technologie blockchain, nous espérons voir davantage de solutions de sécurité innovantes, ainsi qu'une amélioration progressive des normes de l'industrie, pour construire ensemble un écosystème blockchain plus sûr et plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
3
Partager
Commentaire
0/400
MetadataExplorer
· 07-06 19:21
Il ne faut pas se précipiter... attendez d'être nettoyé.
L'attaque du Hacker de Poly Network révèle de graves vulnérabilités dans les smart contracts.
Poly Network a subi une attaque de hacker : une vulnérabilité technique a entraîné des pertes massives
Récemment, l'incident d'attaque du hacker sur le protocole d'interopérabilité inter-chaînes Poly Network a suscité une large attention. Selon l'analyse des experts en sécurité, cette attaque n'a pas été causée par une fuite de clé privée, mais par l'exploitation d'une vulnérabilité de contrat par l'attaquant pour modifier des paramètres clés, lui permettant ainsi d'obtenir le contrôle des fonds.
Analyse des principes d'attaque
Le cœur de l'attaque réside dans une vulnérabilité de fonction dans le contrat EthCrossChainManager. Cette fonction permet d'exécuter des transactions inter-chaînes spécifiées par l'utilisateur, et l'attaquant a réussi à modifier l'adresse du rôle de keeper dans le contrat EthCrossChainData grâce à des données soigneusement construites.
Plus précisément, les attaquants ont exploité plusieurs points clés :
Rétablissement du processus d'attaque
L'attaquant a d'abord modifié les privilèges d'opération du keeper en appelant une fonction spécifique. Ensuite, l'attaquant a lancé plusieurs transactions pour retirer d'importants fonds du contrat. Cette série d'opérations ne s'est pas seulement produite sur la Binance Smart Chain, mais le réseau Ethereum a également subi des attaques similaires.
Après l'attaque, en raison de la modification du keeper, les transactions normales des autres utilisateurs ont commencé à être refusées par le système.
Réflexion sur l'événement
Cet événement révèle une vulnérabilité importante dans la conception des contrats intelligents. La racine du problème réside dans le fait que le keeper du contrat EthCrossChainData peut être modifié par le contrat EthCrossChainManager, qui peut à son tour exécuter les données fournies par l'utilisateur. Cette conception offre une opportunité aux attaquants.
Cette attaque souligne à nouveau l'importance de la conception des contrats et de l'audit de sécurité dans les projets blockchain. Elle nous rappelle que même les défauts de conception apparemment mineurs peuvent être exploités par des hackeurs, entraînant des pertes considérables.
Pour les projets de blockchain, il est très nécessaire de renforcer la sensibilisation à la sécurité, d'améliorer le processus de révision du code et d'effectuer des évaluations de sécurité régulières. En même temps, les utilisateurs participant à des projets de finance décentralisée doivent également rester vigilants et comprendre les risques potentiels.
Avec le développement continu de la technologie blockchain, nous espérons voir davantage de solutions de sécurité innovantes, ainsi qu'une amélioration progressive des normes de l'industrie, pour construire ensemble un écosystème blockchain plus sûr et plus fiable.