📢 #Gate广场征文活动第三期# 正式启动!
🎮 本期聚焦:Yooldo Games (ESPORTS)
✍️ 分享独特见解 + 参与互动推广,若同步参与 Gate 第 286 期 Launchpool、CandyDrop 或 Alpha 活动,即可获得任意奖励资格!
💡 内容创作 + 空投参与 = 双重加分,大奖候选人就是你!
💰总奖池:4,464 枚 $ESPORTS
🏆 一等奖(1名):964 枚
🥈 二等奖(5名):每人 400 枚
🥉 三等奖(10名):每人 150 枚
🚀 参与方式:
在 Gate广场发布不少于 300 字的原创文章
添加标签: #Gate广场征文活动第三期#
每篇文章需 ≥3 个互动(点赞 / 评论 / 转发)
发布参与 Launchpool / CandyDrop / Alpha 任一活动的截图,作为获奖资格凭证
同步转发至 X(推特)可增加获奖概率,标签:#GateSquare 👉 https://www.gate.com/questionnaire/6907
🎯 双倍奖励机会:参与第 286 期 Launchpool!
质押 BTC 或 ESPORTS,瓜分 803,571 枚 $ESPORTS,每小时发放
时间:7 月 21 日 20:00 – 7 月 25 日 20:00(UTC+8)
🧠 写作方向建议:
Yooldo
Poly Network遭黑客攻击:合约设计漏洞导致资金被提取
Poly Network协议遭遇攻击事件分析
近日,跨链互操作协议Poly Network成为黑客攻击的目标,引发了业内广泛关注。安全专家对此事件进行了深入分析,揭示了攻击者的具体手法。
本次攻击的核心问题出在EthCrossChainManager合约的verifyHeaderAndExecuteTx函数上。该函数可以通过_executeCrossChainTx函数执行具体的跨链交易。由于EthCrossChainData合约的所有者是EthCrossChainManager合约,因此后者能够调用前者的putCurEpochConPubKeyBytes函数来修改合约的keeper。
攻击者利用了这一设计漏洞,通过verifyHeaderAndExecuteTx函数传入精心构造的数据,使_executeCrossChainTx函数执行了对EthCrossChainData合约putCurEpochConPubKeyBytes函数的调用,从而将keeper角色更改为攻击者指定的地址。完成这一步后,攻击者便可以随意构造交易,从合约中提取任意数量的资金。
具体攻击流程如下:
攻击者首先锁定了目标合约。
通过EthCrossChainManager合约的verifyHeaderAndExecuteTx函数调用putCurEpochConPubKeyBytes函数,更改了keeper。
随后实施了多笔攻击交易,从合约中提取资金。
由于keeper被修改,其他用户的正常交易随即被拒绝执行。
值得注意的是,这次事件并非由keeper私钥泄露引起,而是攻击者巧妙利用了合约设计中的缺陷。这一案例再次凸显了智能合约安全审计的重要性,尤其是对于复杂的跨链协议而言。
开发团队和安全专家应从这次事件中吸取教训,加强对合约权限管理和函数调用逻辑的审查,以防范类似攻击的发生。同时,也提醒用户在使用新兴DeFi协议时要保持警惕,注意风险防范。