🎉【Gate 3000萬紀念】曬出我的Gate時刻,解鎖限量好禮!
Gate用戶突破3000萬!這不僅是數字,更是我們共同的故事。
還記得第一次開通帳號的激動,搶購成功的喜悅,或陪伴你的Gate週邊嗎?
📸 參與 #我的Gate时刻# ,在Gate廣場曬出你的故事,一起見證下一個3000萬!
✅ 參與方式:
1️⃣ 帶話題 #我的Gate时刻# ,發布包含Gate元素的照片或視頻
2️⃣ 搭配你的Gate故事、祝福或感言更佳
3️⃣ 分享至Twitter(X)可參與瀏覽量前10額外獎勵
推特回鏈請填表單:https://www.gate.com/questionnaire/6872
🎁 獨家獎勵:
🏆 創意大獎(3名):Gate × F1紅牛聯名賽車模型一輛
👕 共創紀念獎(10名): 國際米蘭同款球員衛衣
🥇 參與獎(50名):Gate 品牌抱枕
📣 分享獎(10名):Twitter前10瀏覽量,送Gate × 國米小夜燈!
*海外用戶紅牛聯名賽車折合爲 $200 合約體驗券,國米同款球衣折合爲 $50 合約體驗券,國米小夜燈折合爲 $30 合約體驗券,品牌抱枕折合爲 $20 合約體驗券發放
🧠 創意提示:不限元素內容風格,曬圖帶有如Gate logo、Gate色彩、週邊產品、GT圖案、活動紀念品、活動現場圖等均可參與!
活動截止於7月25日 24:00 UTC+8
3
Poly Network遭黑客攻擊:合約設計漏洞導致資金被提取
Poly Network協議遭遇攻擊事件分析
近日,跨鏈互操作協議Poly Network成爲黑客攻擊的目標,引發了業內廣泛關注。安全專家對此事件進行了深入分析,揭示了攻擊者的具體手法。
本次攻擊的核心問題出在EthCrossChainManager合約的verifyHeaderAndExecuteTx函數上。該函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。由於EthCrossChainData合約的所有者是EthCrossChainManager合約,因此後者能夠調用前者的putCurEpochConPubKeyBytes函數來修改合約的keeper。
攻擊者利用了這一設計漏洞,通過verifyHeaderAndExecuteTx函數傳入精心構造的數據,使_executeCrossChainTx函數執行了對EthCrossChainData合約putCurEpochConPubKeyBytes函數的調用,從而將keeper角色更改爲攻擊者指定的地址。完成這一步後,攻擊者便可以隨意構造交易,從合約中提取任意數量的資金。
具體攻擊流程如下:
攻擊者首先鎖定了目標合約。
通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數調用putCurEpochConPubKeyBytes函數,更改了keeper。
隨後實施了多筆攻擊交易,從合約中提取資金。
由於keeper被修改,其他用戶的正常交易隨即被拒絕執行。
值得注意的是,這次事件並非由keeper私鑰泄露引起,而是攻擊者巧妙利用了合約設計中的缺陷。這一案例再次凸顯了智能合約安全審計的重要性,尤其是對於復雜的跨鏈協議而言。
開發團隊和安全專家應從這次事件中吸取教訓,加強對合約權限管理和函數調用邏輯的審查,以防範類似攻擊的發生。同時,也提醒用戶在使用新興DeFi協議時要保持警惕,注意風險防範。