- Topik
26915 Popularitas
10079 Popularitas
19691 Popularitas
3911 Popularitas
4898 Popularitas
9162 Popularitas
10452 Popularitas
44592 Popularitas
150510 Popularitas
1798317 Popularitas
- Sematkan
26915 Popularitas
10079 Popularitas
19691 Popularitas
3911 Popularitas
4898 Popularitas
9162 Popularitas
10452 Popularitas
44592 Popularitas
150510 Popularitas
1798317 Popularitas
Poly Network diserang oleh Hacker: Kerentanan desain kontrak menyebabkan dana dicuri
Analisis Kejadian Serangan pada Protokol Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network menjadi target serangan hacker, menarik perhatian luas di industri. Para ahli keamanan melakukan analisis mendalam terhadap peristiwa ini, mengungkapkan metode spesifik yang digunakan oleh para penyerang.
Masalah inti dari serangan ini terletak pada fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai spesifik melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, maka yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes milik yang pertama untuk mengubah keeper kontrak.
Penyerang memanfaatkan celah desain ini dengan mengirimkan data yang telah disusun dengan cermat melalui fungsi verifyHeaderAndExecuteTx, sehingga fungsi _executeCrossChainTx melakukan panggilan ke fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, yang mengubah peran keeper menjadi alamat yang ditentukan oleh penyerang. Setelah langkah ini selesai, penyerang dapat dengan bebas menyusun transaksi dan mengekstrak jumlah dana yang tidak terbatas dari kontrak.
Proses serangan spesifik adalah sebagai berikut:
Penyerang pertama-tama mengunci kontrak target.
Melalui pemanggilan fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainManager dengan fungsi verifyHeaderAndExecuteTx, keeper diubah.
Kemudian dilakukan beberapa transaksi serangan, menarik dana dari kontrak.
Karena keeper telah dimodifikasi, transaksi normal pengguna lain segera ditolak.
Perlu dicatat bahwa kejadian ini tidak disebabkan oleh kebocoran kunci pribadi keeper, melainkan penyerang dengan cerdik memanfaatkan kelemahan dalam desain kontrak. Kasus ini sekali lagi menyoroti pentingnya audit keamanan kontrak pintar, terutama untuk protokol lintas rantai yang kompleks.
Tim pengembang dan ahli keamanan harus mengambil pelajaran dari insiden ini untuk memperkuat pengelolaan hak kontrak dan pemeriksaan logika panggilan fungsi, guna mencegah terjadinya serangan serupa. Pada saat yang sama, juga mengingatkan pengguna untuk tetap waspada saat menggunakan protokol DeFi yang baru muncul dan memperhatikan pencegahan risiko.