このブログでは、Polyネットワークの最近の脆弱性を修正するパッチに対する非公式なセキュリティレビューを共有します。
免責事項:
私たちはパッチの非公式なセキュリティレビューのみを提供します。私たちの評価では、このパッチは2021年8月10日に攻撃された脆弱性を修正できることが示されています。しかし、私たちのレビューは、プロジェクトの他のコンポーネントに他の脆弱性が存在しないことを保証するものではありません。
私たちのレビュー
基本的に、脆弱性を修正する方法は許可リストの使用です。許可リストは、EthCrossChainManagerの作成時に初期化されます。これにより、このパッチは以下のセキュリティプロパティを保証できます。
- プロパティ1:許可リスト内のコントラクトのみが、クロスチェーントランザクションを開始するために使用されるcrossChain関数を呼び出すことができます。
- プロパティ2:許可リスト内のメソッドとコントラクトのみが、クロスチェーントランザクションによって呼び出されることができます。
上記のプロパティを強制することで、パッチは脆弱性を修正できると考えています。
なお、BSCとEthereumの脆弱性を修正するために使用される特定のパッチのみをレビューしました。クロスチェーントランザクションのネイティブサポートを持つ他のチェーンが、セキュリティプロパティ1を持っているかどうかは(対応するコードの変更をレビューせずに)わかりません。また、このパッチはPolyチェーンに対するセキュリティ強化を行っていませんが、(ソースチェーンと宛先チェーンを信頼せずに)セキュリティポリシーの適用場所としてより適していると考えています。
クレジット:Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
BlockSecについて
BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の普及を促進するために、新興のWeb3の世界のセキュリティとユーザビリティの向上にコミットしています。この目的のために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡および調査のためのMetaSleuthプラットフォーム、およびWeb3開発者が暗号世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。
現在までに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなどの300社以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む一流の投資家から2回の資金調達ラウンドで数千万米ドルを受け取っています。
公式ウェブサイト:https://blocksec.com/
公式Twitterアカウント:https://twitter.com/BlockSecTeam
