Poly Network がハッカー攻撃を受ける：技術的な脆弱性が巨額の損失をもたらす

最近、クロスチェーン相互運用プロトコルであるPoly Networkがハッカーによる攻撃を受けた事件が広く注目を集めています。セキュリティ専門家の分析によれば、今回の攻撃は秘密鍵の漏洩によるものではなく、攻撃者が契約の脆弱性を利用して重要なパラメータを変更し、資金の制御権を取得したとのことです。

攻撃原理の分析

攻撃の核心は、EthCrossChainManagerコントラクト内のある関数の脆弱性にあります。この関数は、ユーザー指定のクロスチェーン取引を実行することを可能にし、攻撃者は巧妙に構築されたデータを通じて、EthCrossChainDataコントラクト内のkeeper役割のアドレスを成功裏に変更しました。

具体的には、攻撃者は以下のいくつかの重要なポイントを利用しました:

1. EthCrossChainManager コントラクトは EthCrossChainData コントラクトの特定の関数を呼び出すことができます。
2. verifyHeaderAndExecuteTx 関数を通じて、攻撃者はカスタムのクロスチェーン取引を実行することができます。
3. このメカニズムを利用して、攻撃者は keeper 役割のアドレスを自分が制御するアドレスに変更します。
4. アドレスの置き換えが完了すると、攻撃者は契約内の資金を自由に引き出すことができます。

攻撃プロセスの再現

攻撃者はまず特定の関数呼び出しを通じて、keeperの操作権限を変更しました。その後、攻撃者は複数の取引を開始し、契約から大量の資金を引き出しました。この一連の操作は、バイナンススマートチェーンだけでなく、イーサリアムネットワークでも類似の攻撃が発生しました。

攻撃が完了した後、keeperが変更されたため、他のユーザーの正常な取引がシステムによって拒否され始める。

!

イベントリフレクション

今回の事件は、スマートコントラクト設計における重要な脆弱性を明らかにしました。問題の根源は、EthCrossChainData コントラクトの keeper が EthCrossChainManager コントラクトによって変更可能であり、後者がユーザー提供のデータを実行できることにあります。このような設計は、攻撃者に隙を与えました。

今回の攻撃は、ブロックチェーンプロジェクトにおける契約設計とセキュリティ監査の重要性を再度強調しました。それは、わずかな設計上の欠陥でさえもハッカーに悪用され、大きな損失をもたらす可能性があることを私たちに思い出させます。

ブロックチェーンプロジェクトにとって、セキュリティ意識を高め、コードレビューのプロセスを改善し、定期的にセキュリティ評価を行うことは非常に必要な対策です。同時に、ユーザーが分散型金融プロジェクトに参加する際も、警戒を怠らず、潜在的なリスクを理解するべきです。

ブロックチェーン技術の継続的な発展に伴い、私たちはより革新的なセキュリティソリューションや業界標準の徐々な改善を期待し、より安全で信頼性の高いブロックチェーンエコシステムの構築に努めています。