🎉【Gate 3000万纪念】晒出我的Gate时刻,解锁限量好礼!
Gate用户突破3000万!这不仅是数字,更是我们共同的故事。
还记得第一次开通账号的激动,抢购成功的喜悦,或陪伴你的Gate周边吗?
📸 参与 #我的Gate时刻# ,在Gate广场晒出你的故事,一起见证下一个3000万!
✅ 参与方式:
1️⃣ 带话题 #我的Gate时刻# ,发布包含Gate元素的照片或视频
2️⃣ 搭配你的Gate故事、祝福或感言更佳
3️⃣ 分享至Twitter(X)可参与浏览量前10额外奖励
推特回链请填表单:https://www.gate.com/questionnaire/6872
🎁 独家奖励:
🏆 创意大奖(3名):Gate × F1红牛联名赛车模型一辆
👕 共创纪念奖(10名): 国际米兰同款球员卫衣
🥇 参与奖(50名):Gate 品牌抱枕
📣 分享奖(10名):Twitter前10浏览量,送Gate × 国米小夜灯!
*海外用户红牛联名赛车折合为 $200 合约体验券,国米同款球衣折合为 $50 合约体验券,国米小夜灯折合为 $30 合约体验券,品牌抱枕折合为 $20 合约体验券发放
🧠 创意提示:不限元素内容风格,晒图带有如Gate logo、Gate色彩、周边产品、GT图案、活动纪念品、活动现场图等均可参与!
活动截止于7月25日 24:00 UTC+8
3
Poly Network遭黑客攻击:合约设计漏洞导致资金被提取
Poly Network协议遭遇攻击事件分析
近日,跨链互操作协议Poly Network成为黑客攻击的目标,引发了业内广泛关注。安全专家对此事件进行了深入分析,揭示了攻击者的具体手法。
本次攻击的核心问题出在EthCrossChainManager合约的verifyHeaderAndExecuteTx函数上。该函数可以通过_executeCrossChainTx函数执行具体的跨链交易。由于EthCrossChainData合约的所有者是EthCrossChainManager合约,因此后者能够调用前者的putCurEpochConPubKeyBytes函数来修改合约的keeper。
攻击者利用了这一设计漏洞,通过verifyHeaderAndExecuteTx函数传入精心构造的数据,使_executeCrossChainTx函数执行了对EthCrossChainData合约putCurEpochConPubKeyBytes函数的调用,从而将keeper角色更改为攻击者指定的地址。完成这一步后,攻击者便可以随意构造交易,从合约中提取任意数量的资金。
具体攻击流程如下:
攻击者首先锁定了目标合约。
通过EthCrossChainManager合约的verifyHeaderAndExecuteTx函数调用putCurEpochConPubKeyBytes函数,更改了keeper。
随后实施了多笔攻击交易,从合约中提取资金。
由于keeper被修改,其他用户的正常交易随即被拒绝执行。
值得注意的是,这次事件并非由keeper私钥泄露引起,而是攻击者巧妙利用了合约设计中的缺陷。这一案例再次凸显了智能合约安全审计的重要性,尤其是对于复杂的跨链协议而言。
开发团队和安全专家应从这次事件中吸取教训,加强对合约权限管理和函数调用逻辑的审查,以防范类似攻击的发生。同时,也提醒用户在使用新兴DeFi协议时要保持警惕,注意风险防范。