📢 Gate广场 #NERO发帖挑战# 秀观点赢大奖活动火热开启!
Gate NERO生态周来袭!发帖秀出NERO项目洞察和活动实用攻略,瓜分30,000NERO!
💰️ 15位优质发帖用户 * 2,000枚NERO每人
如何参与:
1️⃣ 调研NERO项目
对NERO的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与NERO生态周相关活动,并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
NERO热门活动(帖文需附以下活动链接):
NERO Chain (NERO) 生态周:Gate 已上线 NERO 现货交易,为回馈平台用户,HODLer Airdrop、Launchpool、CandyDrop、余币宝已上线 NERO,邀您体验。参与攻略见公告:https://www.gate.com/announcements/article/46284
高质量帖子Tips:
教程越详细、图片越直观、互动量越高,获奖几率越大!
市场见解独到、真实参与经历、有带新互动者,评选将优先考虑。
帖子需原创,字数不少于250字,且需获得至少3条有效互动
Poly Network遭黑客攻击:合约设计漏洞导致资金被提取
Poly Network协议遭遇攻击事件分析
近日,跨链互操作协议Poly Network成为黑客攻击的目标,引发了业内广泛关注。安全专家对此事件进行了深入分析,揭示了攻击者的具体手法。
本次攻击的核心问题出在EthCrossChainManager合约的verifyHeaderAndExecuteTx函数上。该函数可以通过_executeCrossChainTx函数执行具体的跨链交易。由于EthCrossChainData合约的所有者是EthCrossChainManager合约,因此后者能够调用前者的putCurEpochConPubKeyBytes函数来修改合约的keeper。
攻击者利用了这一设计漏洞,通过verifyHeaderAndExecuteTx函数传入精心构造的数据,使_executeCrossChainTx函数执行了对EthCrossChainData合约putCurEpochConPubKeyBytes函数的调用,从而将keeper角色更改为攻击者指定的地址。完成这一步后,攻击者便可以随意构造交易,从合约中提取任意数量的资金。
具体攻击流程如下:
攻击者首先锁定了目标合约。
通过EthCrossChainManager合约的verifyHeaderAndExecuteTx函数调用putCurEpochConPubKeyBytes函数,更改了keeper。
随后实施了多笔攻击交易,从合约中提取资金。
由于keeper被修改,其他用户的正常交易随即被拒绝执行。
值得注意的是,这次事件并非由keeper私钥泄露引起,而是攻击者巧妙利用了合约设计中的缺陷。这一案例再次凸显了智能合约安全审计的重要性,尤其是对于复杂的跨链协议而言。
开发团队和安全专家应从这次事件中吸取教训,加强对合约权限管理和函数调用逻辑的审查,以防范类似攻击的发生。同时,也提醒用户在使用新兴DeFi协议时要保持警惕,注意风险防范。