Poly Network, Hacker Saldırısına Uğradı: Teknik Açıklar Büyük Kayba Neden Oldu
Son günlerde, çok zincirli etkileşim protokolü Poly Network'ün bir Hacker saldırısına uğraması geniş bir dikkat çekti. Güvenlik uzmanlarının analizine göre, bu saldırı özel anahtar sızıntısından kaynaklanmıyor; saldırgan, sözleşme açığını kullanarak kritik parametreleri değiştirdi ve böylece fonların kontrolünü ele geçirdi.
Saldırı Prensibi Analizi
Saldırının temelinde EthCrossChainManager sözleşmesindeki bir fonksiyon açığı yatıyor. Bu fonksiyon, kullanıcı tarafından belirlenen çapraz zincir işlemlerinin gerçekleştirilmesine izin veriyor. Saldırgan, dikkatlice yapılandırılmış verilerle EthCrossChainData sözleşmesindeki keeper rolü adresini başarıyla değiştirdi.
Özellikle, saldırganlar aşağıdaki birkaç ana noktayı kullandı:
EthCrossChainManager sözleşmesi, EthCrossChainData sözleşmesinin belirli fonksiyonlarını çağırabilir.
verifyHeaderAndExecuteTx fonksiyonu aracılığıyla, saldırgan özelleştirilmiş bir çapraz zincir işlemi gerçekleştirebilir.
Bu mekanizmayı kullanarak, saldırgan keeper rolü adresini kendi kontrolündeki bir adrese değiştirir.
Adres değişikliği tamamlandıktan sonra, saldırgan sözleşmedeki fonları istedikçe çekebilir.
Saldırı Sürecinin Geri Yüklenmesi
Saldırgan, öncelikle belirli bir fonksiyon çağrısı aracılığıyla keeper'ın işlem yetkilerini değiştirdi. Ardından, saldırgan bir dizi işlem başlatarak sözleşmeden büyük miktarda fon çekti. Bu dizi işlem yalnızca Binance Akıllı Zinciri üzerinde değil, Ethereum ağı üzerinde de benzer bir saldırıya maruz kaldı.
Saldırı tamamlandıktan sonra, keeper değiştirildiği için diğer kullanıcıların normal işlemleri sistem tarafından yerine getirilmeye başlandı.
Olay Yansımaları
Bu olay, akıllı sözleşme tasarımındaki önemli bir açığı ortaya koydu. Sorunun kökü, EthCrossChainData sözleşmesinin keeper'ının EthCrossChainManager sözleşmesi tarafından değiştirilebilmesidir; bu da kullanıcı tarafından sağlanan verilerin işlenmesine olanak tanımaktadır. Bu tasarım, saldırganlar için bir fırsat sunmaktadır.
Bu saldırı, blok zinciri projelerinin sözleşme tasarımı ve güvenlik denetimi konusundaki önemini bir kez daha vurguladı. Bu, bize görünüşte küçük olan tasarım hatalarının bile hackerlar tarafından kullanılabileceğini ve büyük kayıplara yol açabileceğini hatırlatıyor.
Blockchain projeleri için güvenlik bilincinin artırılması, kod denetim süreçlerinin iyileştirilmesi ve düzenli güvenlik değerlendirmeleri yapılması son derece gerekli önlemlerdir. Aynı zamanda, kullanıcılar merkeziyetsiz finans projelerine katılırken dikkatli olmalı ve potansiyel riskleri anlamalıdır.
Blok zinciri teknolojisinin sürekli gelişimi ile daha yenilikçi güvenlik çözümlerinin yanı sıra sektör standartlarının kademeli olarak iyileştirilmesini dört gözle bekliyoruz; daha güvenli ve daha güvenilir bir blok zinciri ekosistemi inşa etmek için birlikte çalışmalıyız.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poly Network Hacker saldırısı akıllı sözleşmelerdeki önemli bir açığı ortaya çıkardı
Poly Network, Hacker Saldırısına Uğradı: Teknik Açıklar Büyük Kayba Neden Oldu
Son günlerde, çok zincirli etkileşim protokolü Poly Network'ün bir Hacker saldırısına uğraması geniş bir dikkat çekti. Güvenlik uzmanlarının analizine göre, bu saldırı özel anahtar sızıntısından kaynaklanmıyor; saldırgan, sözleşme açığını kullanarak kritik parametreleri değiştirdi ve böylece fonların kontrolünü ele geçirdi.
Saldırı Prensibi Analizi
Saldırının temelinde EthCrossChainManager sözleşmesindeki bir fonksiyon açığı yatıyor. Bu fonksiyon, kullanıcı tarafından belirlenen çapraz zincir işlemlerinin gerçekleştirilmesine izin veriyor. Saldırgan, dikkatlice yapılandırılmış verilerle EthCrossChainData sözleşmesindeki keeper rolü adresini başarıyla değiştirdi.
Özellikle, saldırganlar aşağıdaki birkaç ana noktayı kullandı:
Saldırı Sürecinin Geri Yüklenmesi
Saldırgan, öncelikle belirli bir fonksiyon çağrısı aracılığıyla keeper'ın işlem yetkilerini değiştirdi. Ardından, saldırgan bir dizi işlem başlatarak sözleşmeden büyük miktarda fon çekti. Bu dizi işlem yalnızca Binance Akıllı Zinciri üzerinde değil, Ethereum ağı üzerinde de benzer bir saldırıya maruz kaldı.
Saldırı tamamlandıktan sonra, keeper değiştirildiği için diğer kullanıcıların normal işlemleri sistem tarafından yerine getirilmeye başlandı.
Olay Yansımaları
Bu olay, akıllı sözleşme tasarımındaki önemli bir açığı ortaya koydu. Sorunun kökü, EthCrossChainData sözleşmesinin keeper'ının EthCrossChainManager sözleşmesi tarafından değiştirilebilmesidir; bu da kullanıcı tarafından sağlanan verilerin işlenmesine olanak tanımaktadır. Bu tasarım, saldırganlar için bir fırsat sunmaktadır.
Bu saldırı, blok zinciri projelerinin sözleşme tasarımı ve güvenlik denetimi konusundaki önemini bir kez daha vurguladı. Bu, bize görünüşte küçük olan tasarım hatalarının bile hackerlar tarafından kullanılabileceğini ve büyük kayıplara yol açabileceğini hatırlatıyor.
Blockchain projeleri için güvenlik bilincinin artırılması, kod denetim süreçlerinin iyileştirilmesi ve düzenli güvenlik değerlendirmeleri yapılması son derece gerekli önlemlerdir. Aynı zamanda, kullanıcılar merkeziyetsiz finans projelerine katılırken dikkatli olmalı ve potansiyel riskleri anlamalıdır.
Blok zinciri teknolojisinin sürekli gelişimi ile daha yenilikçi güvenlik çözümlerinin yanı sıra sektör standartlarının kademeli olarak iyileştirilmesini dört gözle bekliyoruz; daha güvenli ve daha güvenilir bir blok zinciri ekosistemi inşa etmek için birlikte çalışmalıyız.