Protokol cross-chain Mengalami Kerentanan Keamanan: Sebuah Analisis Mendalam
Baru-baru ini, sebuah protokol interoperabilitas lintas rantai mengalami kerentanan keamanan serius yang menarik perhatian luas di industri. Tim ahli keamanan melakukan analisis mendetail terhadap peristiwa ini, mengungkap bagaimana penyerang memanfaatkan kerentanan kontrak untuk mendapatkan izin dan akhirnya melancarkan serangan.
Prinsip Serangan
Analisis menunjukkan bahwa inti dari serangan ini terletak pada adanya celah pada fungsi kontrak kunci dalam protokol. Penyerang berhasil memodifikasi alamat administrator di kontrak penting lainnya dengan data yang disusun dengan cermat, sehingga mendapatkan kendali atas dana. Ini bertentangan dengan klaim sebelumnya tentang kebocoran kunci privat administrator.
Rincian Serangan
Penyerang memanfaatkan fungsi yang disebut verifyHeaderAndExecuteTx, yang dapat mengeksekusi transaksi cross-chain.
Karena hubungan kepemilikan antar kontrak, penyerang dapat memanggil fungsi putCurEpochConPubKeyBytes dari kontrak lain melalui fungsi yang disebutkan di atas, sehingga mengubah peran kunci keeper.
Penyerang membangun data transaksi tertentu, sehingga fungsi verifyHeaderAndExecuteTx secara tidak langsung memanggil fungsi putCurEpochConPubKeyBytes, mengubah peran keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah menyelesaikan penggantian peran keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama meluncurkan serangan di jaringan blockchain dengan memodifikasi alamat keeper melalui transaksi yang dirancang dengan cermat. Kemudian, penyerang meluncurkan beberapa transaksi berturut-turut untuk menarik sejumlah besar dana dari kontrak yang diserang.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Perlu dicatat bahwa penyerang menggunakan metode serupa untuk melakukan serangan di jaringan blockchain arus utama lainnya, menunjukkan bahwa ini adalah tindakan serangan yang terencana dan cross-chain.
Ringkasan
Penyebab mendasar dari insiden serangan kali ini terletak pada celah yang ada dalam desain protokol. Penyerang dengan cerdik memanfaatkan hubungan pemanggilan antar kontrak dan pengaturan izin, dengan membangun data transaksi khusus, berhasil memanipulasi alamat keeper yang krusial. Temuan ini mengoreksi spekulasi keliru sebelumnya tentang kebocoran kunci privat, memberikan referensi penting untuk desain keamanan protokol sejenis.
Peristiwa ini sekali lagi menyoroti tantangan yang dihadapi oleh protokol keuangan terdesentralisasi dalam hal keamanan, dan juga mengingatkan para pengembang untuk lebih berhati-hati saat merancang fungsi interoperabilitas lintas rantai, dengan mempertimbangkan berbagai skenario serangan yang mungkin.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
5
Bagikan
Komentar
0/400
BuyHighSellLow
· 07-21 18:25
Konyol, sudah rugi lagi. Seharusnya aku disuruh memeriksa kontrak agar tidak terjadi masalah.
Lihat AsliBalas0
MetaReckt
· 07-19 15:28
Tsk tsk, pemeriksaan kode kontrak masih belum cukup teliti.
Lihat AsliBalas0
zkProofInThePudding
· 07-19 15:27
Satu lagi celah smart contract telah dibongkar.
Lihat AsliBalas0
screenshot_gains
· 07-19 15:21
Terlalu jelek, dihack dengan begitu mudah
Lihat AsliBalas0
GateUser-aa7df71e
· 07-19 15:18
Aduh, cross-chain ada masalah lagi, proyek-proyek ini kenapa setiap hari di Kupon Klip
Analisis kerentanan keamanan protokol cross-chain: bagaimana penyerang mengubah keeper untuk mendapatkan kontrol atas dana
Protokol cross-chain Mengalami Kerentanan Keamanan: Sebuah Analisis Mendalam
Baru-baru ini, sebuah protokol interoperabilitas lintas rantai mengalami kerentanan keamanan serius yang menarik perhatian luas di industri. Tim ahli keamanan melakukan analisis mendetail terhadap peristiwa ini, mengungkap bagaimana penyerang memanfaatkan kerentanan kontrak untuk mendapatkan izin dan akhirnya melancarkan serangan.
Prinsip Serangan
Analisis menunjukkan bahwa inti dari serangan ini terletak pada adanya celah pada fungsi kontrak kunci dalam protokol. Penyerang berhasil memodifikasi alamat administrator di kontrak penting lainnya dengan data yang disusun dengan cermat, sehingga mendapatkan kendali atas dana. Ini bertentangan dengan klaim sebelumnya tentang kebocoran kunci privat administrator.
Rincian Serangan
Penyerang memanfaatkan fungsi yang disebut verifyHeaderAndExecuteTx, yang dapat mengeksekusi transaksi cross-chain.
Karena hubungan kepemilikan antar kontrak, penyerang dapat memanggil fungsi putCurEpochConPubKeyBytes dari kontrak lain melalui fungsi yang disebutkan di atas, sehingga mengubah peran kunci keeper.
Penyerang membangun data transaksi tertentu, sehingga fungsi verifyHeaderAndExecuteTx secara tidak langsung memanggil fungsi putCurEpochConPubKeyBytes, mengubah peran keeper menjadi alamat yang dikendalikan oleh penyerang.
Setelah menyelesaikan penggantian peran keeper, penyerang dapat dengan bebas membuat transaksi dan menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama meluncurkan serangan di jaringan blockchain dengan memodifikasi alamat keeper melalui transaksi yang dirancang dengan cermat. Kemudian, penyerang meluncurkan beberapa transaksi berturut-turut untuk menarik sejumlah besar dana dari kontrak yang diserang.
Setelah serangan selesai, karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Perlu dicatat bahwa penyerang menggunakan metode serupa untuk melakukan serangan di jaringan blockchain arus utama lainnya, menunjukkan bahwa ini adalah tindakan serangan yang terencana dan cross-chain.
Ringkasan
Penyebab mendasar dari insiden serangan kali ini terletak pada celah yang ada dalam desain protokol. Penyerang dengan cerdik memanfaatkan hubungan pemanggilan antar kontrak dan pengaturan izin, dengan membangun data transaksi khusus, berhasil memanipulasi alamat keeper yang krusial. Temuan ini mengoreksi spekulasi keliru sebelumnya tentang kebocoran kunci privat, memberikan referensi penting untuk desain keamanan protokol sejenis.
Peristiwa ini sekali lagi menyoroti tantangan yang dihadapi oleh protokol keuangan terdesentralisasi dalam hal keamanan, dan juga mengingatkan para pengembang untuk lebih berhati-hati saat merancang fungsi interoperabilitas lintas rantai, dengan mempertimbangkan berbagai skenario serangan yang mungkin.