- Topic
55257 Popularity
13210 Popularity
1422 Popularity
1622 Popularity
2934 Popularity
29556 Popularity
15666 Popularity
21756 Popularity
11147 Popularity
1632 Popularity
- Pin
55257 Popularity
13210 Popularity
1422 Popularity
1622 Popularity
2934 Popularity
29556 Popularity
15666 Popularity
21756 Popularity
11147 Popularity
1632 Popularity
Poly Network, Hacker saldırısına uğradı: Sözleşme tasarımındaki açıklar nedeniyle fonlar çekildi.
Poly Network protokolü saldırı olayı analizi
Son günlerde, çapraz zincir etkileşim protokolü Poly Network, bir hacker saldırısının hedefi haline geldi ve sektör genelinde geniş bir ilgi uyandırdı. Güvenlik uzmanları bu olaya derinlemesine bir analiz yaparak, saldırganların belirli yöntemlerini ortaya koydular.
Bu saldırının temel sorunu, EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonunda yatmaktadır. Bu fonksiyon, _executeCrossChainTx fonksiyonu aracılığıyla belirli bir çapraz zincir işlemi gerçekleştirebilir. EthCrossChainData sözleşmesinin sahibi EthCrossChainManager sözleşmesi olduğundan, bu sonuncusu, sözleşmenin keeper'ını değiştirmek için öncekini putCurEpochConPubKeyBytes fonksiyonunu çağırabilir.
Saldırgan, bu tasarım açığını kullanarak verifyHeaderAndExecuteTx fonksiyonuna özenle hazırlanmış veriler gönderdi ve _executeCrossChainTx fonksiyonu EthCrossChainData sözleşmesindeki putCurEpochConPubKeyBytes fonksiyonunu çağırarak keeper rolünü saldırganın belirlediği adrese değiştirdi. Bu adımı tamamladıktan sonra, saldırgan serbestçe işlem oluşturabilir ve sözleşmeden istedikleri kadar fon çekebilir.
Belirli saldırı süreci aşağıdaki gibidir:
Saldırgan öncelikle hedef sözleşmeyi kilitledi.
EthCrossChainManager sözleşmesinin verifyHeaderAndExecuteTx fonksiyonu ile putCurEpochConPubKeyBytes fonksiyonu çağrılarak keeper değiştirildi.
Sonrasında bir dizi saldırı işlemi gerçekleştirildi ve sözleşmeden fonlar çekildi.
Keeper değiştirildiği için diğer kullanıcıların normal işlemleri hemen reddedildi.
Dikkat edilmesi gereken bir nokta, bu olayın keeper'in özel anahtarının sızdırılmasıyla ilgili olmadığı, aksine saldırganların sözleşme tasarımındaki bir açığı ustaca kullanmış olmalarıdır. Bu vaka, özellikle karmaşık çapraz zincir protokolleri için akıllı sözleşme güvenlik denetiminin önemini bir kez daha vurgulamaktadır.
Geliştirme ekibi ve güvenlik uzmanları, bu olaydan ders almalı, sözleşme yetki yönetimi ve fonksiyon çağrı mantığının denetimini güçlendirmeli ve benzer saldırıların gerçekleşmesini önlemelidir. Aynı zamanda, kullanıcıların yeni DeFi protokollerini kullanırken dikkatli olmaları ve risk önleme konusuna dikkat etmeleri gerektiğini hatırlatmakta fayda var.