Poly Network協議遭遇攻擊事件分析

近日，跨鏈互操作協議Poly Network成爲黑客攻擊的目標，引發了業內廣泛關注。安全專家對此事件進行了深入分析，揭示了攻擊者的具體手法。

本次攻擊的核心問題出在EthCrossChainManager合約的verifyHeaderAndExecuteTx函數上。該函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。由於EthCrossChainData合約的所有者是EthCrossChainManager合約，因此後者能夠調用前者的putCurEpochConPubKeyBytes函數來修改合約的keeper。

攻擊者利用了這一設計漏洞，通過verifyHeaderAndExecuteTx函數傳入精心構造的數據，使_executeCrossChainTx函數執行了對EthCrossChainData合約putCurEpochConPubKeyBytes函數的調用，從而將keeper角色更改爲攻擊者指定的地址。完成這一步後，攻擊者便可以隨意構造交易，從合約中提取任意數量的資金。

具體攻擊流程如下：

1. 攻擊者首先鎖定了目標合約。

2. 通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數調用putCurEpochConPubKeyBytes函數，更改了keeper。

3. 隨後實施了多筆攻擊交易，從合約中提取資金。

4. 由於keeper被修改，其他用戶的正常交易隨即被拒絕執行。

值得注意的是，這次事件並非由keeper私鑰泄露引起，而是攻擊者巧妙利用了合約設計中的缺陷。這一案例再次凸顯了智能合約安全審計的重要性，尤其是對於復雜的跨鏈協議而言。

開發團隊和安全專家應從這次事件中吸取教訓，加強對合約權限管理和函數調用邏輯的審查，以防範類似攻擊的發生。同時，也提醒用戶在使用新興DeFi協議時要保持警惕，注意風險防範。