# Poly Network遭受黑客攻击:分析揭示攻击细节近日,跨链互操作协议Poly Network遭受黑客攻击,引发业内广泛关注。安全团队对此事件进行了深入分析,揭示了攻击者的具体手法。## 攻击核心分析显示,此次攻击的核心在于EthCrossChainManager合约中的verifyHeaderAndExecuteTx函数。该函数可通过_executeCrossChainTx函数执行具体的跨链交易。攻击者利用这一机制,巧妙地修改了系统中关键的keeper角色。## 攻击细节1. EthCrossChainData合约的所有者是EthCrossChainManager合约。这使得后者能够调用前者的putCurEpochConPubKeyBytes函数,从而修改合约的keeper。2. verifyHeaderAndExecuteTx函数可以通过内部调用_executeCrossChainTx函数来执行用户指定的跨链交易。3. 攻击者通过verifyHeaderAndExecuteTx函数传入精心构造的数据,使_executeCrossChainTx函数执行调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数,从而将keeper角色更改为攻击者指定的地址。4. 成功替换keeper角色地址后,攻击者便可以随意构造交易,从合约中提取任意数量的资金。## 攻击影响攻击完成后,由于keeper被修改,导致其他用户的正常交易被拒绝执行。这一攻击不仅影响了BSC链,以太坊网络上也发生了类似的操作。## 结论此次攻击的根本原因在于EthCrossChainData合约的keeper可被EthCrossChainManager合约修改,而后者的verifyHeaderAndExecuteTx函数又可执行用户传入的数据。攻击者正是利用了这一设计漏洞,通过构造特定数据修改了keeper,而非此前传言的keeper私钥泄露。这一事件再次凸显了智能合约安全的重要性,特别是在涉及跨链操作的复杂系统中。开发者需要更加谨慎地设计合约权限结构,并进行全面的安全审计,以防范类似攻击的发生。
Poly Network黑客攻击细节揭秘:EthCrossChainManager漏洞成关键
Poly Network遭受黑客攻击:分析揭示攻击细节
近日,跨链互操作协议Poly Network遭受黑客攻击,引发业内广泛关注。安全团队对此事件进行了深入分析,揭示了攻击者的具体手法。
攻击核心
分析显示,此次攻击的核心在于EthCrossChainManager合约中的verifyHeaderAndExecuteTx函数。该函数可通过_executeCrossChainTx函数执行具体的跨链交易。攻击者利用这一机制,巧妙地修改了系统中关键的keeper角色。
攻击细节
EthCrossChainData合约的所有者是EthCrossChainManager合约。这使得后者能够调用前者的putCurEpochConPubKeyBytes函数,从而修改合约的keeper。
verifyHeaderAndExecuteTx函数可以通过内部调用_executeCrossChainTx函数来执行用户指定的跨链交易。
攻击者通过verifyHeaderAndExecuteTx函数传入精心构造的数据,使_executeCrossChainTx函数执行调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数,从而将keeper角色更改为攻击者指定的地址。
成功替换keeper角色地址后,攻击者便可以随意构造交易,从合约中提取任意数量的资金。
攻击影响
攻击完成后,由于keeper被修改,导致其他用户的正常交易被拒绝执行。这一攻击不仅影响了BSC链,以太坊网络上也发生了类似的操作。
结论
此次攻击的根本原因在于EthCrossChainData合约的keeper可被EthCrossChainManager合约修改,而后者的verifyHeaderAndExecuteTx函数又可执行用户传入的数据。攻击者正是利用了这一设计漏洞,通过构造特定数据修改了keeper,而非此前传言的keeper私钥泄露。
这一事件再次凸显了智能合约安全的重要性,特别是在涉及跨链操作的复杂系统中。开发者需要更加谨慎地设计合约权限结构,并进行全面的安全审计,以防范类似攻击的发生。