Analisis Kejadian Serangan Hacker pada Jaringan Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, yang menarik perhatian luas dari industri. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan metode spesifik dan proses serangan yang dilakukan oleh penyerang.
Prinsip Serangan
Inti dari serangan ini adalah memanfaatkan celah dalam kontrak EthCrossChainManager. Penyerang berhasil mengubah keeper dari kontrak EthCrossChainData menjadi alamat yang ditentukan dengan memasukkan data yang dirancang dengan cermat melalui fungsi verifyHeaderAndExecuteTx. Ini bertentangan dengan klaim sebelumnya mengenai kebocoran kunci privat keeper.
Detail Serangan
Fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai spesifik melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, sehingga yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang menggunakan fungsi verifyHeaderAndExecuteTx, mengirimkan data yang telah dimodifikasi, sehingga fungsi _executeCrossChainTx mengeksekusi fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, yang mengubah keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah peran keeper diganti, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
Selanjutnya, penyerang melakukan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Teknik serangan serupa juga diterapkan di jaringan Ethereum, di mana penyerang menggunakan langkah operasi yang sama.
Kesimpulan
Kunci dari serangan ini terletak pada keeper dari kontrak EthCrossChainData yang dapat diubah oleh kontrak EthCrossChainManager, dan fungsi verifyHeaderAndExecuteTx dari yang terakhir dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan membangun data tertentu, berhasil mengubah keeper dari kontrak EthCrossChainData, dan kemudian melakukan pencurian dana.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam desain dan implementasi protokol lintas rantai, kita perlu sangat memperhatikan manajemen hak akses dan mekanisme verifikasi keamanan, untuk mencegah terjadinya serangan serupa. Selain itu, audit dan deteksi kerentanan pada kontrak pintar juga harus lebih komprehensif dan mendalam, terutama pada fungsi yang melibatkan peran kunci dan perubahan hak akses.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
7
Bagikan
Komentar
0/400
TestnetScholar
· 6jam yang lalu
Kita harus mulai menambal lubang lagi, bukan?
Lihat AsliBalas0
SocialAnxietyStaker
· 17jam yang lalu
Kontrak ini terlalu rapuh 8
Lihat AsliBalas0
DeFiVeteran
· 17jam yang lalu
Ketemu celah keamanan lagi? Kenapa panik?
Lihat AsliBalas0
ChainMaskedRider
· 17jam yang lalu
Saatnya para suckers dipermainkan lagi~
Lihat AsliBalas0
Fren_Not_Food
· 18jam yang lalu
Sekali lagi sebuah smart contract telah diserang.
Lihat AsliBalas0
DiamondHands
· 18jam yang lalu
Sudah hitam tapi tidak hitam secara maksimal, pemain pemula.
Poly Network diserang Hacker, celah kontrak EthCrossChainManager menyebabkan kehilangan dana
Analisis Kejadian Serangan Hacker pada Jaringan Poly Network
Baru-baru ini, protokol interoperabilitas lintas rantai Poly Network mengalami serangan Hacker, yang menarik perhatian luas dari industri. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan metode spesifik dan proses serangan yang dilakukan oleh penyerang.
Prinsip Serangan
Inti dari serangan ini adalah memanfaatkan celah dalam kontrak EthCrossChainManager. Penyerang berhasil mengubah keeper dari kontrak EthCrossChainData menjadi alamat yang ditentukan dengan memasukkan data yang dirancang dengan cermat melalui fungsi verifyHeaderAndExecuteTx. Ini bertentangan dengan klaim sebelumnya mengenai kebocoran kunci privat keeper.
Detail Serangan
Fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager dapat mengeksekusi transaksi lintas rantai spesifik melalui fungsi _executeCrossChainTx.
Pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, sehingga yang terakhir dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper.
Penyerang menggunakan fungsi verifyHeaderAndExecuteTx, mengirimkan data yang telah dimodifikasi, sehingga fungsi _executeCrossChainTx mengeksekusi fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, yang mengubah keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah peran keeper diganti, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager untuk mengubah keeper.
Selanjutnya, penyerang melakukan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Teknik serangan serupa juga diterapkan di jaringan Ethereum, di mana penyerang menggunakan langkah operasi yang sama.
Kesimpulan
Kunci dari serangan ini terletak pada keeper dari kontrak EthCrossChainData yang dapat diubah oleh kontrak EthCrossChainManager, dan fungsi verifyHeaderAndExecuteTx dari yang terakhir dapat mengeksekusi data yang diberikan oleh pengguna. Penyerang memanfaatkan celah ini dengan membangun data tertentu, berhasil mengubah keeper dari kontrak EthCrossChainData, dan kemudian melakukan pencurian dana.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam desain dan implementasi protokol lintas rantai, kita perlu sangat memperhatikan manajemen hak akses dan mekanisme verifikasi keamanan, untuk mencegah terjadinya serangan serupa. Selain itu, audit dan deteksi kerentanan pada kontrak pintar juga harus lebih komprehensif dan mendalam, terutama pada fungsi yang melibatkan peran kunci dan perubahan hak akses.