Analisis Insiden Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan dari Hacker, yang memicu perhatian luas di industri. Tim ahli keamanan melakukan analisis mendalam terhadap peristiwa ini dan berpendapat bahwa penyerang tidak melakukan serangan melalui kebocoran kunci pribadi, melainkan memanfaatkan celah kontrak untuk mengubah parameter kunci.
Inti Serangan
Kunci serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, maka yang terakhir berhak memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData untuk mengubah keeper dari kontrak tersebut.
Proses Serangan
Penyerang menggunakan fungsi verifyHeaderAndExecuteTx, dengan mengirimkan data yang telah disusun dengan hati-hati.
Data ini memicu fungsi _executeCrossChainTx untuk dijalankan, memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData.
Operasi ini akan mengubah peran keeper menjadi alamat yang ditentukan oleh penyerang.
Setelah menyelesaikan penggantian keeper, penyerang dapat membangun transaksi untuk mengekstrak jumlah dana yang tidak terbatas dari kontrak.
Dampak Serangan
Setelah serangan terjadi, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi. Masalah ini tidak hanya memengaruhi jaringan BSC, tetapi juga muncul pola serangan serupa di jaringan Ethereum.
Refleksi Peristiwa
Peristiwa ini mengungkapkan risiko potensial dalam desain kontrak pintar. Kuncinya adalah keeper dari kontrak EthCrossChainData dapat diubah oleh kontrak EthCrossChainManager, yang pada gilirannya memungkinkan eksekusi data yang dimasukkan oleh pengguna. Desain semacam ini memberikan peluang bagi penyerang.
Di masa depan, proyek serupa dalam merancang mekanisme interaksi lintas rantai perlu lebih hati-hati mempertimbangkan masalah manajemen akses dan verifikasi data. Meningkatkan isolasi keamanan antar kontrak, membatasi syarat pelaksanaan operasi sensitif, merupakan arah perbaikan yang layak dipertimbangkan.
Serangan ini sekali lagi mengingatkan kita bahwa dalam ekosistem blockchain, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Mekanisme audit keamanan dan penilaian risiko yang terus diperbaiki sangat penting untuk menjaga perkembangan sehat dari seluruh ekosistem.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
5
Posting ulang
Bagikan
Komentar
0/400
MemecoinTrader
· 10jam yang lalu
eksploitasi amatir sudah ketinggalan zaman... alpha sejati ada di arbitrase sentimen sosial saat ini
Lihat AsliBalas0
rugdoc.eth
· 14jam yang lalu
Kontrak gg sudah tidak bisa dilihat
Lihat AsliBalas0
Ramen_Until_Rich
· 14jam yang lalu
Benar-benar hanya bisa mengubah kontrak...
Lihat AsliBalas0
BearMarketBuyer
· 14jam yang lalu
Apakah dicuri masih baik?
Lihat AsliBalas0
DegenMcsleepless
· 14jam yang lalu
Saudara-saudara semuanya sangat lemah, banyak celah.
Pengungkapan insiden serangan Hacker Poly Network: Kerentanan kontrak menyebabkan keeper dimanipulasi
Analisis Insiden Serangan Hacker pada Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan dari Hacker, yang memicu perhatian luas di industri. Tim ahli keamanan melakukan analisis mendalam terhadap peristiwa ini dan berpendapat bahwa penyerang tidak melakukan serangan melalui kebocoran kunci pribadi, melainkan memanfaatkan celah kontrak untuk mengubah parameter kunci.
Inti Serangan
Kunci serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, maka yang terakhir berhak memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData untuk mengubah keeper dari kontrak tersebut.
Proses Serangan
Penyerang menggunakan fungsi verifyHeaderAndExecuteTx, dengan mengirimkan data yang telah disusun dengan hati-hati.
Data ini memicu fungsi _executeCrossChainTx untuk dijalankan, memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData.
Operasi ini akan mengubah peran keeper menjadi alamat yang ditentukan oleh penyerang.
Setelah menyelesaikan penggantian keeper, penyerang dapat membangun transaksi untuk mengekstrak jumlah dana yang tidak terbatas dari kontrak.
Dampak Serangan
Setelah serangan terjadi, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi. Masalah ini tidak hanya memengaruhi jaringan BSC, tetapi juga muncul pola serangan serupa di jaringan Ethereum.
Refleksi Peristiwa
Peristiwa ini mengungkapkan risiko potensial dalam desain kontrak pintar. Kuncinya adalah keeper dari kontrak EthCrossChainData dapat diubah oleh kontrak EthCrossChainManager, yang pada gilirannya memungkinkan eksekusi data yang dimasukkan oleh pengguna. Desain semacam ini memberikan peluang bagi penyerang.
Di masa depan, proyek serupa dalam merancang mekanisme interaksi lintas rantai perlu lebih hati-hati mempertimbangkan masalah manajemen akses dan verifikasi data. Meningkatkan isolasi keamanan antar kontrak, membatasi syarat pelaksanaan operasi sensitif, merupakan arah perbaikan yang layak dipertimbangkan.
Serangan ini sekali lagi mengingatkan kita bahwa dalam ekosistem blockchain, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Mekanisme audit keamanan dan penilaian risiko yang terus diperbaiki sangat penting untuk menjaga perkembangan sehat dari seluruh ekosistem.