Informelle Sicherheitsprüfung des Patches zur Behebung der Schwachstelle beim Poly Network Hack

Blog: informelle Sicherheitsprüfung des Poly-Netzwerk-Patches. Fokus auf Allowlists & deren Sicherheitseigenschaften.

Informelle Sicherheitsprüfung des Patches zur Behebung der Schwachstelle beim Poly Network Hack

In diesem Blog teilen wir unsere informelle Sicherheitsüberprüfung des Patches zur Behebung der kürzlichen Poly-Netzwerk-Schwachstelle.

Haftungsausschluss:

Wir bieten nur eine informelle Sicherheitsüberprüfung des Patches an. Unsere Bewertung zeigt, dass der Patch die Schwachstelle beheben kann, die am 10. August 2021 angegriffen wurde. Unsere Überprüfung garantiert jedoch nicht, dass in anderen Komponenten des Projekts keine weiteren Schwachstellen vorhanden sind.

Unsere Überprüfung

Grundsätzlich ist die Methode zur Behebung der Schwachstelle die Verwendung von Zulassungslisten. Die Zulassungslisten werden beim Erstellen des EthCrossChainManager initialisiert. Dadurch kann dieser Patch die folgenden Sicherheitseigenschaften gewährleisten.

  • Eigenschaft eins: Nur der Vertrag in den Zulassungslisten kann die CrossChain-Funktion aufrufen, die zum Starten der Cross-Chain-Transaktion verwendet wird.
  • Eigenschaft zwei: Nur die Methode und der Vertrag in den Zulassungslisten können von der Cross-Chain-Transaktion aufgerufen werden.

Durch die Durchsetzung der oben genannten Eigenschaften glauben wir, dass der Patch die Schwachstelle beheben kann.

Beachten Sie, dass wir nur den spezifischen Patch überprüfen, der zur Behebung der Schwachstelle für BSC und Ethereum verwendet wird. Wir sind uns nicht sicher, ob andere Ketten mit nativer Unterstützung von Cross-Chain-Transaktionen die Sicherheitseigenschaft eins aufweisen (ohne die Änderung des entsprechenden Codes zu überprüfen). Außerdem führt dieser Patch keine Sicherheitsverbesserungen auf der Poly-Kette durch, was unserer Meinung nach ein besserer Ort für Sicherheitspolitik wäre (ohne der Quell- und Zielkette zu vertrauen).

Credits: Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam

Über BlockSec

BlockSec ist ein führendes Unternehmen für Blockchain-Sicherheit, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit der aufstrebenden Web3-Welt, um deren massenhafte Einführung zu erleichtern. Zu diesem Zweck bietet BlockSec Sicherheitsaudits für Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die Sicherheitsentwicklung und proaktive Bedrohungsabwehr, die MetaSleuth-Plattform für die Nachverfolgung von Geldern und Ermittlungen sowie die MetaSuites-Erweiterung für Web3-Entwickler, die sich effizient in der Kryptowelt bewegen, an.

Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge in US-Dollar erhalten.

Offizielle Website: https://blocksec.com/

Offizieller Twitter-Account: https://twitter.com/BlockSecTeam

Sign up for the latest updates
Web3 Smart Contract & EVM Chain Audits | BlockSec

Web3 Smart Contract & EVM Chain Audits | BlockSec

BlockSec secures Web3 with attacker-driven audits, chain reviews, and zero-day detection - battle-tested, blocking 20+ hacks and $20M+ losses.

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec delivers advanced smart contract audits and EVM chain audits, combining deep research with real attack insights to secure Web3 systems.

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Discover how BlockSec enables AI agents to run KYA/KYT checks with X402—a stateless, pay-per-call crypto compliance protocol.