クロスチェーンプロトコルが安全な脆弱性に遭遇：一次深入剖析

最近、あるクロスチェーン相互運用プロトコルが深刻なセキュリティ脆弱性に直面し、業界の広範な関心を引き起こしました。セキュリティ専門家チームはこの事件を詳細に分析し、攻撃者がどのようにして契約の脆弱性を利用して権限を取得し、最終的に攻撃を実施したのかを明らかにしました。

攻撃の原則

分析によると、今回の攻撃の核心はプロトコル内の重要なコントラクト関数に脆弱性が存在することです。攻撃者は巧妙に構築されたデータを通じて、別の重要なコントラクトの管理者アドレスを成功裏に変更し、資金の制御権を獲得しました。これは以前に流布された管理者の秘密鍵漏洩の説とは一致しません。

攻撃の詳細

1. 攻撃者は、クロスチェーントランザクションを実行できるverifyHeaderAndExecuteTxという関数を悪用します。

2. コントラクト間の所有権関係により、攻撃者は前述の関数を呼び出すことで別のコントラクトのputCurEpochConPubKeyBytes関数を呼び出し、重要なkeeper役割を変更することができます。

3. 攻撃者は、特定のトランザクションデータを構築して、verifyHeaderAndExecuteTx関数が間接的にputCurEpochConPubKeyBytes関数を呼び出し、キーパーロールを攻撃者が制御するアドレスに変更するようにします。

4. keeperの役割が置き換えられた後、攻撃者は自由に取引を構築し、契約から任意の金額を引き出すことができます。

攻撃プロセス

攻撃者はまずあるブロックチェーンネットワークで攻撃を開始し、巧妙に設計された取引によってkeeperアドレスを変更しました。その後、攻撃者は連続して多数の取引を行い、攻撃された契約から大量の資金を引き出しました。

攻撃が完了した後、keeperが変更されたため、他のユーザーの正常な取引が拒否されました。

注目すべきは、攻撃者が別の主流のブロックチェーンネットワークでも同様の手法を用いて攻撃を行ったことで、これは計画的でクロスチェーンの攻撃行動であることを示しています。

!

まとめ

今回の攻撃事件の根本原因は、プロトコル設計に存在する脆弱性にあります。攻撃者は巧妙にコントラクト間の呼び出し関係と権限設定を利用し、特殊な取引データを構築することで、重要なkeeperアドレスを成功裏に改ざんしました。この発見は、以前の秘密鍵漏洩に関する誤った推測を修正し、同様のプロトコルの安全設計に重要な参考を提供しました。

この事件は、分散型金融プロトコルが安全性の面で直面している課題を再び浮き彫りにし、開発者に対してクロスチェーン相互運用機能を設計する際により慎重になる必要があり、さまざまな攻撃シナリオを十分に考慮するよう警告しています。