# Poly Network遭遇黑客攻击事件分析近日,跨链互操作协议Poly Network遭受黑客攻击,引发业内广泛关注。安全专家团队对此事件进行了深入分析,认为攻击者并非通过私钥泄露实施攻击,而是利用合约漏洞修改了关键参数。## 攻击核心攻击的关键在于EthCrossChainManager合约中的verifyHeaderAndExecuteTx函数。该函数可以通过_executeCrossChainTx函数执行特定的跨链交易。由于EthCrossChainData合约的所有者是EthCrossChainManager合约,因此后者有权调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数来更改合约的keeper。## 攻击过程1. 攻击者通过verifyHeaderAndExecuteTx函数,传入精心构造的数据。2. 这些数据触发_executeCrossChainTx函数执行,调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数。3. 该操作将keeper角色更改为攻击者指定的地址。4. 完成keeper替换后,攻击者便可构造交易,从合约中提取任意数量的资金。## 攻击影响攻击发生后,由于keeper被修改,导致其他用户的正常交易被拒绝执行。这一问题不仅影响了BSC网络,以太坊网络上也出现了类似的攻击模式。## 事件反思本次事件暴露了智能合约设计中的潜在风险。关键在于EthCrossChainData合约的keeper可被EthCrossChainManager合约修改,而后者又允许执行用户传入的数据。这种设计为攻击者提供了可乘之机。未来,类似项目在设计跨链交互机制时,需要更加谨慎地考虑权限管理和数据验证问题。增强合约间的安全隔离,限制敏感操作的执行条件,都是值得考虑的改进方向。此次攻击再次提醒我们,在区块链生态中,安全始终是首要考虑的因素。不断完善的安全审计和风险评估机制,对于维护整个生态系统的健康发展至关重要。
Poly Network黑客攻击事件揭秘:合约漏洞导致keeper被篡改
Poly Network遭遇黑客攻击事件分析
近日,跨链互操作协议Poly Network遭受黑客攻击,引发业内广泛关注。安全专家团队对此事件进行了深入分析,认为攻击者并非通过私钥泄露实施攻击,而是利用合约漏洞修改了关键参数。
攻击核心
攻击的关键在于EthCrossChainManager合约中的verifyHeaderAndExecuteTx函数。该函数可以通过_executeCrossChainTx函数执行特定的跨链交易。由于EthCrossChainData合约的所有者是EthCrossChainManager合约,因此后者有权调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数来更改合约的keeper。
攻击过程
攻击者通过verifyHeaderAndExecuteTx函数,传入精心构造的数据。
这些数据触发_executeCrossChainTx函数执行,调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数。
该操作将keeper角色更改为攻击者指定的地址。
完成keeper替换后,攻击者便可构造交易,从合约中提取任意数量的资金。
攻击影响
攻击发生后,由于keeper被修改,导致其他用户的正常交易被拒绝执行。这一问题不仅影响了BSC网络,以太坊网络上也出现了类似的攻击模式。
事件反思
本次事件暴露了智能合约设计中的潜在风险。关键在于EthCrossChainData合约的keeper可被EthCrossChainManager合约修改,而后者又允许执行用户传入的数据。这种设计为攻击者提供了可乘之机。
未来,类似项目在设计跨链交互机制时,需要更加谨慎地考虑权限管理和数据验证问题。增强合约间的安全隔离,限制敏感操作的执行条件,都是值得考虑的改进方向。
此次攻击再次提醒我们,在区块链生态中,安全始终是首要考虑的因素。不断完善的安全审计和风险评估机制,对于维护整个生态系统的健康发展至关重要。