Poly Network sofreu um ataque de Hacker: vulnerabilidades técnicas resultam em grandes perdas
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker que gerou ampla atenção. Após análise de especialistas em segurança, este ataque não foi causado por uma violação da chave privada, mas sim por um ataque que explorou vulnerabilidades do contrato para modificar parâmetros críticos, obtendo assim o controle dos fundos.
Análise do Princípio do Ataque
O núcleo do ataque reside em uma vulnerabilidade de função no contrato EthCrossChainManager. Esta função permite a execução de transações cross-chain especificadas pelo usuário, e o atacante conseguiu modificar com sucesso o endereço do papel de keeper no contrato EthCrossChainData por meio de dados cuidadosamente elaborados.
Especificamente, os atacantes exploraram os seguintes pontos-chave:
O contrato EthCrossChainManager pode chamar funções específicas do contrato EthCrossChainData.
Através da função verifyHeaderAndExecuteTx, um Hacker pode executar transações cross-chain personalizadas.
Utilizando este mecanismo, o atacante altera o endereço do papel de keeper para um endereço que controla.
Após a substituição do endereço, o hacker pode retirar livremente os fundos do contrato.
Restauração do processo de ataque
O atacante primeiro alterou as permissões de operação do keeper através de chamadas de função específicas. Em seguida, o atacante iniciou várias transações, retirando uma grande quantidade de fundos do contrato. Esta série de operações não ocorreu apenas na Binance Smart Chain, mas a rede Ethereum também sofreu ataques semelhantes.
Após o ataque, devido à modificação do keeper, as transações normais de outros usuários começaram a ser rejeitadas pelo sistema.
Reflexão sobre o Evento
Este incidente revela uma vulnerabilidade importante no design de contratos inteligentes. A raiz do problema está no fato de que o keeper do contrato EthCrossChainData pode ser modificado pelo contrato EthCrossChainManager, que por sua vez pode executar os dados fornecidos pelo usuário. Este design oferece uma oportunidade para os atacantes.
Este ataque novamente enfatiza a importância do design de contratos e da auditoria de segurança em projetos de blockchain. Ele nos lembra que, mesmo as falhas de design que parecem pequenas, podem ser exploradas por hackers, causando grandes perdas.
Para projetos de blockchain, é muito necessário reforçar a consciência de segurança, melhorar o processo de auditoria de código e realizar avaliações de segurança regularmente. Ao mesmo tempo, os usuários que participam de projetos de finanças descentralizadas também devem permanecer atentos e entender os riscos potenciais.
Com o contínuo desenvolvimento da tecnologia blockchain, esperamos ver mais soluções de segurança inovadoras, bem como a gradual melhoria dos padrões da indústria, para construir conjuntamente um ecossistema de blockchain mais seguro e mais confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
O ataque de hacker à Poly Network revelou uma grave vulnerabilidade nos contratos inteligentes
Poly Network sofreu um ataque de Hacker: vulnerabilidades técnicas resultam em grandes perdas
Recentemente, o protocolo de interoperabilidade entre cadeias Poly Network sofreu um ataque de Hacker que gerou ampla atenção. Após análise de especialistas em segurança, este ataque não foi causado por uma violação da chave privada, mas sim por um ataque que explorou vulnerabilidades do contrato para modificar parâmetros críticos, obtendo assim o controle dos fundos.
Análise do Princípio do Ataque
O núcleo do ataque reside em uma vulnerabilidade de função no contrato EthCrossChainManager. Esta função permite a execução de transações cross-chain especificadas pelo usuário, e o atacante conseguiu modificar com sucesso o endereço do papel de keeper no contrato EthCrossChainData por meio de dados cuidadosamente elaborados.
Especificamente, os atacantes exploraram os seguintes pontos-chave:
Restauração do processo de ataque
O atacante primeiro alterou as permissões de operação do keeper através de chamadas de função específicas. Em seguida, o atacante iniciou várias transações, retirando uma grande quantidade de fundos do contrato. Esta série de operações não ocorreu apenas na Binance Smart Chain, mas a rede Ethereum também sofreu ataques semelhantes.
Após o ataque, devido à modificação do keeper, as transações normais de outros usuários começaram a ser rejeitadas pelo sistema.
Reflexão sobre o Evento
Este incidente revela uma vulnerabilidade importante no design de contratos inteligentes. A raiz do problema está no fato de que o keeper do contrato EthCrossChainData pode ser modificado pelo contrato EthCrossChainManager, que por sua vez pode executar os dados fornecidos pelo usuário. Este design oferece uma oportunidade para os atacantes.
Este ataque novamente enfatiza a importância do design de contratos e da auditoria de segurança em projetos de blockchain. Ele nos lembra que, mesmo as falhas de design que parecem pequenas, podem ser exploradas por hackers, causando grandes perdas.
Para projetos de blockchain, é muito necessário reforçar a consciência de segurança, melhorar o processo de auditoria de código e realizar avaliações de segurança regularmente. Ao mesmo tempo, os usuários que participam de projetos de finanças descentralizadas também devem permanecer atentos e entender os riscos potenciais.
Com o contínuo desenvolvimento da tecnologia blockchain, esperamos ver mais soluções de segurança inovadoras, bem como a gradual melhoria dos padrões da indústria, para construir conjuntamente um ecossistema de blockchain mais seguro e mais confiável.