Poly Network mengalami serangan Hacker: Kerentanan teknis menyebabkan kerugian besar
Baru-baru ini, insiden serangan hacker terhadap protokol interoperabilitas lintas rantai Poly Network menarik perhatian luas. Setelah analisis oleh para ahli keamanan, serangan ini bukan disebabkan oleh kebocoran kunci privat, melainkan penyerang memanfaatkan celah kontrak untuk mengubah parameter kunci, sehingga mendapatkan kendali atas dana.
Analisis Prinsip Serangan
Inti dari serangan terletak pada kerentanan fungsi dalam kontrak EthCrossChainManager. Fungsi ini memungkinkan pelaksanaan transaksi lintas rantai yang ditentukan pengguna, dan penyerang berhasil memodifikasi alamat peran keeper dalam kontrak EthCrossChainData dengan data yang telah dibentuk dengan cermat.
Secara spesifik, penyerang memanfaatkan beberapa poin kunci berikut:
Kontrak EthCrossChainManager dapat memanggil fungsi tertentu dari kontrak EthCrossChainData.
Melalui fungsi verifyHeaderAndExecuteTx, penyerang dapat melaksanakan transaksi lintas rantai yang disesuaikan.
Dengan memanfaatkan mekanisme ini, penyerang mengubah alamat peran keeper menjadi alamat yang mereka kendalikan.
Setelah menyelesaikan penggantian alamat, penyerang dapat dengan bebas mengambil dana dari kontrak.
Pemulihan Proses Serangan
Penyerang pertama-tama mengubah hak akses keeper melalui panggilan fungsi tertentu. Selanjutnya, penyerang melakukan beberapa transaksi untuk menarik sejumlah besar dana dari kontrak. Serangkaian operasi ini tidak hanya terjadi di Binance Smart Chain, tetapi juga mengalami serangan serupa di jaringan Ethereum.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain mulai ditolak oleh sistem.
Refleksi Peristiwa
Kejadian ini mengungkapkan sebuah celah penting dalam desain kontrak pintar. Akar masalah terletak pada kemampuan kontrak EthCrossChainData untuk dimodifikasi oleh kontrak EthCrossChainManager, yang juga dapat mengeksekusi data yang diberikan oleh pengguna. Desain ini memberikan kesempatan bagi penyerang.
Serangan ini sekali lagi menekankan pentingnya desain kontrak dan audit keamanan dalam proyek blockchain. Ini mengingatkan kita bahwa bahkan cacat desain yang tampak kecil sekalipun dapat dimanfaatkan oleh Hacker, mengakibatkan kerugian besar.
Untuk proyek blockchain, meningkatkan kesadaran keamanan, memperbaiki proses audit kode, dan secara teratur melakukan evaluasi keamanan adalah langkah-langkah yang sangat diperlukan. Pada saat yang sama, pengguna yang berpartisipasi dalam proyek keuangan terdesentralisasi juga harus tetap waspada dan memahami risiko yang mungkin ada.
Seiring dengan perkembangan teknologi blockchain yang terus berlanjut, kami berharap dapat melihat lebih banyak solusi keamanan yang inovatif, serta perbaikan bertahap dari standar industri, untuk bersama-sama membangun ekosistem blockchain yang lebih aman dan lebih dapat diandalkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Serangan Hacker Poly Network Mengungkap Kerentanan Besar dalam Smart Contract
Poly Network mengalami serangan Hacker: Kerentanan teknis menyebabkan kerugian besar
Baru-baru ini, insiden serangan hacker terhadap protokol interoperabilitas lintas rantai Poly Network menarik perhatian luas. Setelah analisis oleh para ahli keamanan, serangan ini bukan disebabkan oleh kebocoran kunci privat, melainkan penyerang memanfaatkan celah kontrak untuk mengubah parameter kunci, sehingga mendapatkan kendali atas dana.
Analisis Prinsip Serangan
Inti dari serangan terletak pada kerentanan fungsi dalam kontrak EthCrossChainManager. Fungsi ini memungkinkan pelaksanaan transaksi lintas rantai yang ditentukan pengguna, dan penyerang berhasil memodifikasi alamat peran keeper dalam kontrak EthCrossChainData dengan data yang telah dibentuk dengan cermat.
Secara spesifik, penyerang memanfaatkan beberapa poin kunci berikut:
Pemulihan Proses Serangan
Penyerang pertama-tama mengubah hak akses keeper melalui panggilan fungsi tertentu. Selanjutnya, penyerang melakukan beberapa transaksi untuk menarik sejumlah besar dana dari kontrak. Serangkaian operasi ini tidak hanya terjadi di Binance Smart Chain, tetapi juga mengalami serangan serupa di jaringan Ethereum.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain mulai ditolak oleh sistem.
Refleksi Peristiwa
Kejadian ini mengungkapkan sebuah celah penting dalam desain kontrak pintar. Akar masalah terletak pada kemampuan kontrak EthCrossChainData untuk dimodifikasi oleh kontrak EthCrossChainManager, yang juga dapat mengeksekusi data yang diberikan oleh pengguna. Desain ini memberikan kesempatan bagi penyerang.
Serangan ini sekali lagi menekankan pentingnya desain kontrak dan audit keamanan dalam proyek blockchain. Ini mengingatkan kita bahwa bahkan cacat desain yang tampak kecil sekalipun dapat dimanfaatkan oleh Hacker, mengakibatkan kerugian besar.
Untuk proyek blockchain, meningkatkan kesadaran keamanan, memperbaiki proses audit kode, dan secara teratur melakukan evaluasi keamanan adalah langkah-langkah yang sangat diperlukan. Pada saat yang sama, pengguna yang berpartisipasi dalam proyek keuangan terdesentralisasi juga harus tetap waspada dan memahami risiko yang mungkin ada.
Seiring dengan perkembangan teknologi blockchain yang terus berlanjut, kami berharap dapat melihat lebih banyak solusi keamanan yang inovatif, serta perbaikan bertahap dari standar industri, untuk bersama-sama membangun ekosistem blockchain yang lebih aman dan lebih dapat diandalkan.