Gần đây, sự kiện giao thức tương tác chuỗi đa Poly Network bị tấn công bởi hacker đã thu hút sự chú ý rộng rãi. Qua phân tích của các chuyên gia an ninh, cuộc tấn công này không phải do rò rỉ khóa riêng mà là do kẻ tấn công lợi dụng lỗ hổng hợp đồng để sửa đổi các tham số quan trọng, từ đó chiếm quyền kiểm soát tài sản.
Phân tích nguyên lý tấn công
Tâm điểm của cuộc tấn công là một lỗ hổng trong hàm của hợp đồng EthCrossChainManager. Hàm này cho phép thực hiện các giao dịch xuyên chuỗi do người dùng chỉ định, kẻ tấn công đã thành công trong việc thay đổi địa chỉ vai trò keeper trong hợp đồng EthCrossChainData thông qua dữ liệu được xây dựng một cách tinh vi.
Cụ thể, kẻ tấn công đã lợi dụng một số điểm chính sau đây:
Hợp đồng EthCrossChainManager có thể gọi các hàm cụ thể của hợp đồng EthCrossChainData.
Qua hàm verifyHeaderAndExecuteTx, kẻ tấn công có thể thực hiện giao dịch liên chuỗi tùy chỉnh.
Sử dụng cơ chế này, kẻ tấn công sẽ thay đổi địa chỉ vai trò keeper thành địa chỉ mà mình kiểm soát.
Sau khi hoàn thành việc thay thế địa chỉ, kẻ tấn công có thể dễ dàng rút tiền từ hợp đồng.
Khôi phục quá trình tấn công
Kẻ tấn công trước tiên đã thay đổi quyền truy cập của keeper thông qua việc gọi các hàm cụ thể. Sau đó, kẻ tấn công đã thực hiện nhiều giao dịch để rút một lượng lớn tiền từ hợp đồng. Chuỗi các hoạt động này không chỉ xảy ra trên chuỗi thông minh Binance mà cũng đã gặp phải các cuộc tấn công tương tự trên mạng Ethereum.
Sau khi cuộc tấn công hoàn thành, do keeper bị sửa đổi, các giao dịch bình thường của người dùng khác bắt đầu bị hệ thống từ chối thực hiện.
Suy ngẫm về sự kiện
Sự kiện này đã tiết lộ một lỗ hổng quan trọng trong thiết kế hợp đồng thông minh. Nguyên nhân của vấn đề nằm ở việc hợp đồng EthCrossChainData có thể bị hợp đồng EthCrossChainManager chỉnh sửa, trong khi hợp đồng sau lại có thể thực hiện dữ liệu do người dùng cung cấp. Thiết kế này đã tạo ra cơ hội cho kẻ tấn công.
Cuộc tấn công này một lần nữa nhấn mạnh tầm quan trọng của việc thiết kế hợp đồng và kiểm toán an ninh trong các dự án blockchain. Nó nhắc nhở chúng ta rằng, ngay cả những khiếm khuyết thiết kế có vẻ nhỏ cũng có thể bị Hacker lợi dụng, gây ra tổn thất lớn.
Đối với các dự án blockchain, việc nâng cao nhận thức về an ninh, cải thiện quy trình kiểm tra mã, và thường xuyên thực hiện đánh giá an ninh là những biện pháp rất cần thiết. Đồng thời, người dùng khi tham gia các dự án tài chính phi tập trung cũng nên giữ cảnh giác và hiểu rõ những rủi ro tiềm ẩn.
Với sự phát triển không ngừng của công nghệ blockchain, chúng tôi mong đợi sẽ thấy nhiều giải pháp bảo mật sáng tạo hơn, cũng như sự hoàn thiện dần của các tiêu chuẩn ngành, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cuộc tấn công của Hacker Poly Network đã tiết lộ lỗ hổng nghiêm trọng trong hợp đồng thông minh
Poly Network遭遇Hacker攻击:技术漏洞导致巨额损失
Gần đây, sự kiện giao thức tương tác chuỗi đa Poly Network bị tấn công bởi hacker đã thu hút sự chú ý rộng rãi. Qua phân tích của các chuyên gia an ninh, cuộc tấn công này không phải do rò rỉ khóa riêng mà là do kẻ tấn công lợi dụng lỗ hổng hợp đồng để sửa đổi các tham số quan trọng, từ đó chiếm quyền kiểm soát tài sản.
Phân tích nguyên lý tấn công
Tâm điểm của cuộc tấn công là một lỗ hổng trong hàm của hợp đồng EthCrossChainManager. Hàm này cho phép thực hiện các giao dịch xuyên chuỗi do người dùng chỉ định, kẻ tấn công đã thành công trong việc thay đổi địa chỉ vai trò keeper trong hợp đồng EthCrossChainData thông qua dữ liệu được xây dựng một cách tinh vi.
Cụ thể, kẻ tấn công đã lợi dụng một số điểm chính sau đây:
Khôi phục quá trình tấn công
Kẻ tấn công trước tiên đã thay đổi quyền truy cập của keeper thông qua việc gọi các hàm cụ thể. Sau đó, kẻ tấn công đã thực hiện nhiều giao dịch để rút một lượng lớn tiền từ hợp đồng. Chuỗi các hoạt động này không chỉ xảy ra trên chuỗi thông minh Binance mà cũng đã gặp phải các cuộc tấn công tương tự trên mạng Ethereum.
Sau khi cuộc tấn công hoàn thành, do keeper bị sửa đổi, các giao dịch bình thường của người dùng khác bắt đầu bị hệ thống từ chối thực hiện.
Suy ngẫm về sự kiện
Sự kiện này đã tiết lộ một lỗ hổng quan trọng trong thiết kế hợp đồng thông minh. Nguyên nhân của vấn đề nằm ở việc hợp đồng EthCrossChainData có thể bị hợp đồng EthCrossChainManager chỉnh sửa, trong khi hợp đồng sau lại có thể thực hiện dữ liệu do người dùng cung cấp. Thiết kế này đã tạo ra cơ hội cho kẻ tấn công.
Cuộc tấn công này một lần nữa nhấn mạnh tầm quan trọng của việc thiết kế hợp đồng và kiểm toán an ninh trong các dự án blockchain. Nó nhắc nhở chúng ta rằng, ngay cả những khiếm khuyết thiết kế có vẻ nhỏ cũng có thể bị Hacker lợi dụng, gây ra tổn thất lớn.
Đối với các dự án blockchain, việc nâng cao nhận thức về an ninh, cải thiện quy trình kiểm tra mã, và thường xuyên thực hiện đánh giá an ninh là những biện pháp rất cần thiết. Đồng thời, người dùng khi tham gia các dự án tài chính phi tập trung cũng nên giữ cảnh giác và hiểu rõ những rủi ro tiềm ẩn.
Với sự phát triển không ngừng của công nghệ blockchain, chúng tôi mong đợi sẽ thấy nhiều giải pháp bảo mật sáng tạo hơn, cũng như sự hoàn thiện dần của các tiêu chuẩn ngành, cùng nhau xây dựng một hệ sinh thái blockchain an toàn và đáng tin cậy hơn.