Protocole cross-chain rencontre une vulnérabilité de sécurité : une analyse approfondie
Récemment, un protocole d'interopérabilité cross-chain a rencontré une grave vulnérabilité de sécurité, suscitant une large attention dans l'industrie. Une équipe d'experts en sécurité a effectué une analyse détaillée de cet incident, révélant comment les attaquants ont exploité une faille dans le contrat pour obtenir des autorisations et finalement mener l'attaque.
Principe d'attaque
L'analyse montre que le cœur de cette attaque réside dans une vulnérabilité d'une fonction de contrat clé dans le protocole. L'attaquant a réussi à modifier l'adresse de l'administrateur dans un autre contrat important en utilisant des données soigneusement construites, lui permettant ainsi de prendre le contrôle des fonds. Cela contredit les affirmations précédemment diffusées concernant la fuite de la clé privée de l'administrateur.
Détails de l'attaque
L'attaquant a utilisé une fonction appelée verifyHeaderAndExecuteTx, qui peut exécuter des transactions cross-chain.
En raison des relations de propriété entre les contrats, un attaquant peut appeler la fonction putCurEpochConPubKeyBytes d'un autre contrat via la fonction susmentionnée, modifiant ainsi le rôle clé de keeper.
L'attaquant a construit des données de transaction spécifiques, ce qui a conduit à un appel indirect de la fonction putCurEpochConPubKeyBytes par la fonction verifyHeaderAndExecuteTx, changeant le rôle du gardien en une adresse contrôlée par l'attaquant.
Une fois le remplacement du rôle de keeper effectué, l'attaquant peut librement construire des transactions et extraire n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant lance d'abord une attaque sur un réseau blockchain, modifiant l'adresse du keeper par le biais de transactions soigneusement conçues. Ensuite, l'attaquant effectue plusieurs transactions consécutives pour extraire d'importants fonds du contrat attaqué.
Après l'attaque, en raison de la modification du keeper, les transactions normales des autres utilisateurs ont été refusées.
Il convient de noter que les attaquants ont utilisé une méthode similaire pour mener une attaque sur un autre réseau de blockchain majeur, ce qui montre qu'il s'agit d'une action d'attaque préméditée et cross-chain.
Résumé
La cause fondamentale de cet incident d'attaque réside dans les vulnérabilités présentes dans la conception du protocole. L'attaquant a habilement exploité les relations d'appel entre les contrats et les réglages d'autorisation, en construisant des données de transaction spéciales, réussissant ainsi à altérer l'adresse clé du keeper. Cette découverte a corrigé les erreurs de spéculation antérieures concernant la fuite de clés privées, fournissant une référence importante pour la conception de la sécurité de protocoles similaires.
Cet événement souligne à nouveau les défis en matière de sécurité auxquels sont confrontés les protocoles de finance décentralisée, et rappelle aux développeurs qu'ils doivent être plus prudents lors de la conception des fonctionnalités d'interopérabilité cross-chain, en tenant pleinement compte des différents scénarios d'attaque possibles.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Partager
Commentaire
0/400
BuyHighSellLow
· 07-21 18:25
C'est absurde, j'ai encore perdu. Si on m'avait demandé de vérifier le contrat, il n'y aurait pas eu de problème.
Voir l'originalRépondre0
MetaReckt
· 07-19 15:28
Tsk tsk, la révision du code de contrat n'est pas encore assez minutieuse.
Voir l'originalRépondre0
zkProofInThePudding
· 07-19 15:27
Une autre faille de smart contracts a été exploitée.
Voir l'originalRépondre0
screenshot_gains
· 07-19 15:21
C'est trop nul, je suis noirci si facilement.
Voir l'originalRépondre0
GateUser-aa7df71e
· 07-19 15:18
Oh là là, un problème de cross-chain encore une fois, comment ces projets peuvent-ils être toujours en train de couper les coupons ?
Analyse des vulnérabilités de sécurité des protocoles cross-chain : comment un attaquant peut modifier le keeper pour obtenir le contrôle des fonds.
Protocole cross-chain rencontre une vulnérabilité de sécurité : une analyse approfondie
Récemment, un protocole d'interopérabilité cross-chain a rencontré une grave vulnérabilité de sécurité, suscitant une large attention dans l'industrie. Une équipe d'experts en sécurité a effectué une analyse détaillée de cet incident, révélant comment les attaquants ont exploité une faille dans le contrat pour obtenir des autorisations et finalement mener l'attaque.
Principe d'attaque
L'analyse montre que le cœur de cette attaque réside dans une vulnérabilité d'une fonction de contrat clé dans le protocole. L'attaquant a réussi à modifier l'adresse de l'administrateur dans un autre contrat important en utilisant des données soigneusement construites, lui permettant ainsi de prendre le contrôle des fonds. Cela contredit les affirmations précédemment diffusées concernant la fuite de la clé privée de l'administrateur.
Détails de l'attaque
L'attaquant a utilisé une fonction appelée verifyHeaderAndExecuteTx, qui peut exécuter des transactions cross-chain.
En raison des relations de propriété entre les contrats, un attaquant peut appeler la fonction putCurEpochConPubKeyBytes d'un autre contrat via la fonction susmentionnée, modifiant ainsi le rôle clé de keeper.
L'attaquant a construit des données de transaction spécifiques, ce qui a conduit à un appel indirect de la fonction putCurEpochConPubKeyBytes par la fonction verifyHeaderAndExecuteTx, changeant le rôle du gardien en une adresse contrôlée par l'attaquant.
Une fois le remplacement du rôle de keeper effectué, l'attaquant peut librement construire des transactions et extraire n'importe quel montant de fonds du contrat.
Processus d'attaque
L'attaquant lance d'abord une attaque sur un réseau blockchain, modifiant l'adresse du keeper par le biais de transactions soigneusement conçues. Ensuite, l'attaquant effectue plusieurs transactions consécutives pour extraire d'importants fonds du contrat attaqué.
Après l'attaque, en raison de la modification du keeper, les transactions normales des autres utilisateurs ont été refusées.
Il convient de noter que les attaquants ont utilisé une méthode similaire pour mener une attaque sur un autre réseau de blockchain majeur, ce qui montre qu'il s'agit d'une action d'attaque préméditée et cross-chain.
Résumé
La cause fondamentale de cet incident d'attaque réside dans les vulnérabilités présentes dans la conception du protocole. L'attaquant a habilement exploité les relations d'appel entre les contrats et les réglages d'autorisation, en construisant des données de transaction spéciales, réussissant ainsi à altérer l'adresse clé du keeper. Cette découverte a corrigé les erreurs de spéculation antérieures concernant la fuite de clés privées, fournissant une référence importante pour la conception de la sécurité de protocoles similaires.
Cet événement souligne à nouveau les défis en matière de sécurité auxquels sont confrontés les protocoles de finance décentralisée, et rappelle aux développeurs qu'ils doivent être plus prudents lors de la conception des fonctionnalités d'interopérabilité cross-chain, en tenant pleinement compte des différents scénarios d'attaque possibles.