El protocolo cross-chain enfrenta vulnerabilidades de seguridad: un análisis profundo
Recientemente, un protocolo de interoperabilidad cross-chain sufrió una grave vulnerabilidad de seguridad, lo que ha suscitado una amplia atención en la industria. Un equipo de expertos en seguridad llevó a cabo un análisis detallado de este incidente, revelando cómo los atacantes aprovecharon las vulnerabilidades del contrato para obtener permisos y finalmente llevar a cabo el ataque.
Principio del ataque
El análisis muestra que el núcleo de este ataque radica en una vulnerabilidad en una función de contrato clave dentro del protocolo. El atacante, mediante datos cuidadosamente construidos, logró modificar la dirección del administrador en otro contrato importante, obteniendo así el control sobre los fondos. Esto contradice la teoría anterior sobre la filtración de la clave privada del administrador.
Detalles del ataque
El atacante aprovechó una función llamada verifyHeaderAndExecuteTx, que puede ejecutar transacciones cross-chain.
Debido a la relación de propiedad entre los contratos, el atacante puede llamar a la función putCurEpochConPubKeyBytes de otro contrato a través de la función mencionada, lo que permite modificar el papel clave del keeper.
El atacante construyó datos de transacción específicos, lo que hizo que la función verifyHeaderAndExecuteTx llamara indirectamente a la función putCurEpochConPubKeyBytes, cambiando el rol de keeper a una dirección controlada por el atacante.
Después de completar el reemplazo del rol de keeper, el atacante puede construir transacciones a su antojo y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
El atacante primero inicia un ataque en una red de blockchain, modificando la dirección del keeper a través de transacciones diseñadas cuidadosamente. Luego, el atacante realiza múltiples transacciones consecutivas, extrayendo una gran cantidad de fondos del contrato atacado.
Después del ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios fueron rechazadas.
Es notable que los atacantes utilizaron un método similar para llevar a cabo ataques en otra red de blockchain principal, lo que demuestra que se trata de una acción de ataque premeditada y cross-chain.
Resumen
La causa fundamental de este incidente de ataque radica en las vulnerabilidades presentes en el diseño del protocolo. Los atacantes aprovecharon astutamente las relaciones de llamada entre contratos y la configuración de permisos, logrando modificar con éxito la dirección clave del keeper mediante la construcción de datos de transacción especiales. Este hallazgo corrige las suposiciones erróneas anteriores sobre la filtración de claves privadas y proporciona una referencia importante para el diseño seguro de protocolos similares.
Este evento destaca una vez más los desafíos que enfrentan los protocolos de finanzas descentralizadas en términos de seguridad, y recuerda a los desarrolladores que deben ser más cautelosos al diseñar funciones de interoperabilidad cross-chain, considerando adecuadamente diversos escenarios de ataque posibles.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Compartir
Comentar
0/400
BuyHighSellLow
· 07-21 18:25
Ridículo, perdí otra vez. Si me hubieran llamado para revisar el contrato, no habría pasado nada.
Ver originalesResponder0
MetaReckt
· 07-19 15:28
Tsk tsk, la revisión del código del contrato no es lo suficientemente detallada.
Ver originalesResponder0
zkProofInThePudding
· 07-19 15:27
Otra brecha de contratos inteligentes ha sido explotada.
Ver originalesResponder0
screenshot_gains
· 07-19 15:21
Demasiado malo, ser atacado tan fácil.
Ver originalesResponder0
GateUser-aa7df71e
· 07-19 15:18
Ay, el cross-chain ha vuelto a tener problemas, ¿cómo es que estos proyectos son siempre objeto de Cupones de clip?
Análisis de vulnerabilidades de seguridad en el protocolo cross-chain: cómo los atacantes modifican el keeper para obtener el control de los fondos.
El protocolo cross-chain enfrenta vulnerabilidades de seguridad: un análisis profundo
Recientemente, un protocolo de interoperabilidad cross-chain sufrió una grave vulnerabilidad de seguridad, lo que ha suscitado una amplia atención en la industria. Un equipo de expertos en seguridad llevó a cabo un análisis detallado de este incidente, revelando cómo los atacantes aprovecharon las vulnerabilidades del contrato para obtener permisos y finalmente llevar a cabo el ataque.
Principio del ataque
El análisis muestra que el núcleo de este ataque radica en una vulnerabilidad en una función de contrato clave dentro del protocolo. El atacante, mediante datos cuidadosamente construidos, logró modificar la dirección del administrador en otro contrato importante, obteniendo así el control sobre los fondos. Esto contradice la teoría anterior sobre la filtración de la clave privada del administrador.
Detalles del ataque
El atacante aprovechó una función llamada verifyHeaderAndExecuteTx, que puede ejecutar transacciones cross-chain.
Debido a la relación de propiedad entre los contratos, el atacante puede llamar a la función putCurEpochConPubKeyBytes de otro contrato a través de la función mencionada, lo que permite modificar el papel clave del keeper.
El atacante construyó datos de transacción específicos, lo que hizo que la función verifyHeaderAndExecuteTx llamara indirectamente a la función putCurEpochConPubKeyBytes, cambiando el rol de keeper a una dirección controlada por el atacante.
Después de completar el reemplazo del rol de keeper, el atacante puede construir transacciones a su antojo y extraer cualquier cantidad de fondos del contrato.
Proceso de ataque
El atacante primero inicia un ataque en una red de blockchain, modificando la dirección del keeper a través de transacciones diseñadas cuidadosamente. Luego, el atacante realiza múltiples transacciones consecutivas, extrayendo una gran cantidad de fondos del contrato atacado.
Después del ataque, debido a que el keeper fue modificado, las transacciones normales de otros usuarios fueron rechazadas.
Es notable que los atacantes utilizaron un método similar para llevar a cabo ataques en otra red de blockchain principal, lo que demuestra que se trata de una acción de ataque premeditada y cross-chain.
Resumen
La causa fundamental de este incidente de ataque radica en las vulnerabilidades presentes en el diseño del protocolo. Los atacantes aprovecharon astutamente las relaciones de llamada entre contratos y la configuración de permisos, logrando modificar con éxito la dirección clave del keeper mediante la construcción de datos de transacción especiales. Este hallazgo corrige las suposiciones erróneas anteriores sobre la filtración de claves privadas y proporciona una referencia importante para el diseño seguro de protocolos similares.
Este evento destaca una vez más los desafíos que enfrentan los protocolos de finanzas descentralizadas en términos de seguridad, y recuerda a los desarrolladores que deben ser más cautelosos al diseñar funciones de interoperabilidad cross-chain, considerando adecuadamente diversos escenarios de ataque posibles.