# Poly Network協議遭遇攻擊事件分析近日,跨鏈互操作協議Poly Network成爲黑客攻擊的目標,引發了業內廣泛關注。安全專家對此事件進行了深入分析,揭示了攻擊者的具體手法。本次攻擊的核心問題出在EthCrossChainManager合約的verifyHeaderAndExecuteTx函數上。該函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。由於EthCrossChainData合約的所有者是EthCrossChainManager合約,因此後者能夠調用前者的putCurEpochConPubKeyBytes函數來修改合約的keeper。攻擊者利用了這一設計漏洞,通過verifyHeaderAndExecuteTx函數傳入精心構造的數據,使_executeCrossChainTx函數執行了對EthCrossChainData合約putCurEpochConPubKeyBytes函數的調用,從而將keeper角色更改爲攻擊者指定的地址。完成這一步後,攻擊者便可以隨意構造交易,從合約中提取任意數量的資金。具體攻擊流程如下:1. 攻擊者首先鎖定了目標合約。2. 通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數調用putCurEpochConPubKeyBytes函數,更改了keeper。3. 隨後實施了多筆攻擊交易,從合約中提取資金。4. 由於keeper被修改,其他用戶的正常交易隨即被拒絕執行。值得注意的是,這次事件並非由keeper私鑰泄露引起,而是攻擊者巧妙利用了合約設計中的缺陷。這一案例再次凸顯了智能合約安全審計的重要性,尤其是對於復雜的跨鏈協議而言。開發團隊和安全專家應從這次事件中吸取教訓,加強對合約權限管理和函數調用邏輯的審查,以防範類似攻擊的發生。同時,也提醒用戶在使用新興DeFi協議時要保持警惕,注意風險防範。
Poly Network遭黑客攻擊:合約設計漏洞導致資金被提取
Poly Network協議遭遇攻擊事件分析
近日,跨鏈互操作協議Poly Network成爲黑客攻擊的目標,引發了業內廣泛關注。安全專家對此事件進行了深入分析,揭示了攻擊者的具體手法。
本次攻擊的核心問題出在EthCrossChainManager合約的verifyHeaderAndExecuteTx函數上。該函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。由於EthCrossChainData合約的所有者是EthCrossChainManager合約,因此後者能夠調用前者的putCurEpochConPubKeyBytes函數來修改合約的keeper。
攻擊者利用了這一設計漏洞,通過verifyHeaderAndExecuteTx函數傳入精心構造的數據,使_executeCrossChainTx函數執行了對EthCrossChainData合約putCurEpochConPubKeyBytes函數的調用,從而將keeper角色更改爲攻擊者指定的地址。完成這一步後,攻擊者便可以隨意構造交易,從合約中提取任意數量的資金。
具體攻擊流程如下:
攻擊者首先鎖定了目標合約。
通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數調用putCurEpochConPubKeyBytes函數,更改了keeper。
隨後實施了多筆攻擊交易,從合約中提取資金。
由於keeper被修改,其他用戶的正常交易隨即被拒絕執行。
值得注意的是,這次事件並非由keeper私鑰泄露引起,而是攻擊者巧妙利用了合約設計中的缺陷。這一案例再次凸顯了智能合約安全審計的重要性,尤其是對於復雜的跨鏈協議而言。
開發團隊和安全專家應從這次事件中吸取教訓,加強對合約權限管理和函數調用邏輯的審查,以防範類似攻擊的發生。同時,也提醒用戶在使用新興DeFi協議時要保持警惕,注意風險防範。