Kerentanan protokol cross-chain menyebabkan kejadian keamanan besar
Baru-baru ini, sebuah protokol interoperabilitas lintas rantai yang terkenal mengalami serangan hacker, yang menarik perhatian luas di industri. Setelah analisis oleh tim keamanan profesional, serangan ini bukan disebabkan oleh kebocoran kunci, melainkan penyerang dengan cerdik memanfaatkan celah kontrak untuk mengubah parameter penting.
Inti Serangan
Kunci dari serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper kontrak.
Penyerang memicu fungsi _executeCrossChainTx dengan mengirimkan data yang dirancang dengan cermat ke fungsi verifyHeaderAndExecuteTx, yang kemudian memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, mengubah peran keeper menjadi alamat yang ditentukan oleh penyerang. Setelah langkah ini selesai, penyerang dapat membangun transaksi untuk menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager, yang mengubah keeper.
Selanjutnya, penyerang mulai melaksanakan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Metode serangan serupa juga diterapkan di jaringan Ethereum, dengan proses yang hampir sama.
Inspirasi Acara
Kejadian ini mengungkapkan sebuah celah penting dalam desain kontrak pintar. Keeper dari kontrak EthCrossChainData dapat dimodifikasi oleh kontrak EthCrossChainManager, yang fungsi verifyHeaderAndExecuteTx-nya dapat mengeksekusi data yang diinput pengguna. Desain semacam ini memberikan kesempatan bagi penyerang.
Serangan ini bukan disebabkan oleh kebocoran kunci privat keeper, melainkan karena adanya celah dalam desain kontrak. Ini mengingatkan kita bahwa saat merancang protokol cross-chain, kita perlu lebih hati-hati dalam mempertimbangkan manajemen izin dan mekanisme verifikasi data, untuk mencegah terulangnya kejadian keamanan serupa.
Untuk seluruh industri blockchain, peristiwa ini sekali lagi menekankan pentingnya audit keamanan. Meskipun protokol yang tampak sempurna, mungkin ada celah yang diabaikan. Pemeriksaan keamanan yang berkelanjutan dan perbaikan celah sangat penting untuk melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
4
Bagikan
Komentar
0/400
SundayDegen
· 07-14 15:39
Tetap perlu menambahkan perlindungan zero-day.
Lihat AsliBalas0
GasGrillMaster
· 07-14 15:36
Ada masalah lagi, saya pergi, saya pergi.
Lihat AsliBalas0
RooftopVIP
· 07-14 15:29
Sekarang mau naik ke atap untuk tampilkan matahari.
Kelemahan kontrak protokol cross-chain diserang Hacker, desain keamanan kembali memberi peringatan.
Kerentanan protokol cross-chain menyebabkan kejadian keamanan besar
Baru-baru ini, sebuah protokol interoperabilitas lintas rantai yang terkenal mengalami serangan hacker, yang menarik perhatian luas di industri. Setelah analisis oleh tim keamanan profesional, serangan ini bukan disebabkan oleh kebocoran kunci, melainkan penyerang dengan cerdik memanfaatkan celah kontrak untuk mengubah parameter penting.
Inti Serangan
Kunci dari serangan terletak pada fungsi verifyHeaderAndExecuteTx dalam kontrak EthCrossChainManager. Fungsi ini dapat mengeksekusi transaksi lintas rantai tertentu melalui fungsi _executeCrossChainTx. Karena pemilik kontrak EthCrossChainData adalah kontrak EthCrossChainManager, yang dapat memanggil fungsi putCurEpochConPubKeyBytes dari yang pertama untuk mengubah keeper kontrak.
Penyerang memicu fungsi _executeCrossChainTx dengan mengirimkan data yang dirancang dengan cermat ke fungsi verifyHeaderAndExecuteTx, yang kemudian memanggil fungsi putCurEpochConPubKeyBytes dari kontrak EthCrossChainData, mengubah peran keeper menjadi alamat yang ditentukan oleh penyerang. Setelah langkah ini selesai, penyerang dapat membangun transaksi untuk menarik jumlah dana yang tidak terbatas dari kontrak.
Proses Serangan
Penyerang pertama-tama memanggil fungsi putCurEpochConPubKeyBytes melalui fungsi verifyHeaderAndExecuteTx dari kontrak EthCrossChainManager, yang mengubah keeper.
Selanjutnya, penyerang mulai melaksanakan serangkaian transaksi serangan untuk menarik dana dari kontrak.
Karena keeper telah dimodifikasi, transaksi normal pengguna lain ditolak untuk dieksekusi.
Metode serangan serupa juga diterapkan di jaringan Ethereum, dengan proses yang hampir sama.
Inspirasi Acara
Kejadian ini mengungkapkan sebuah celah penting dalam desain kontrak pintar. Keeper dari kontrak EthCrossChainData dapat dimodifikasi oleh kontrak EthCrossChainManager, yang fungsi verifyHeaderAndExecuteTx-nya dapat mengeksekusi data yang diinput pengguna. Desain semacam ini memberikan kesempatan bagi penyerang.
Serangan ini bukan disebabkan oleh kebocoran kunci privat keeper, melainkan karena adanya celah dalam desain kontrak. Ini mengingatkan kita bahwa saat merancang protokol cross-chain, kita perlu lebih hati-hati dalam mempertimbangkan manajemen izin dan mekanisme verifikasi data, untuk mencegah terulangnya kejadian keamanan serupa.
Untuk seluruh industri blockchain, peristiwa ini sekali lagi menekankan pentingnya audit keamanan. Meskipun protokol yang tampak sempurna, mungkin ada celah yang diabaikan. Pemeriksaan keamanan yang berkelanjutan dan perbaikan celah sangat penting untuk melindungi keamanan aset pengguna.