在本篇博客中,我们将分享我们对修复近期Poly网络漏洞的补丁的非正式安全评估。
免责声明:
我们仅对该补丁进行非正式安全审查。我们的评估表明,该补丁可以修复在2021年8月10日之前遭受攻击的漏洞。然而,我们的审查并不保证项目中其他组件不存在其他漏洞。
我们的审查
基本上,修复该漏洞的方法是使用白名单。白名单在创建EthCrossChainManager时进行初始化。通过这样做,该补丁可以确保以下安全属性:
- 属性一:只有白名单中的合约才能调用crossChain函数,该函数用于启动跨链交易。
- 属性二:只有白名单中的方法和合约才能被跨链交易调用。
通过强制执行上述属性,我们认为该补丁可以修复该漏洞。
请注意,我们仅审查了用于修复BSC和以太坊漏洞的特定补丁。我们不确定其他支持原生跨链交易的链是否具有属性一(未审查相应代码的更改)。此外,该补丁并未对Poly链进行安全增强,我们认为,Poly链可能是实施安全策略的更好地方(无需信任源链和目标链)。
致谢:Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
关于BlockSec
BlockSec是一家开创性的区块链安全公司,由一群全球顶尖的安全专家于2021年创立。公司致力于提升新兴Web3世界的安全性和可用性,以促进其大规模采用。为此,BlockSec提供智能合约和EVM链安全审计服务,用于安全开发和主动阻止威胁的Phalcon平台,用于资金追踪和调查的MetaSleuth平台,以及供Web3开发者高效地在加密世界中冲浪的MetaSuites扩展。
迄今为止,公司已服务包括MetaMask、Uniswap Foundation、Compound、Forta和PancakeSwap在内的300多家尊贵客户,并在两轮融资中从Matrix Partners、Vitalbridge Capital和Fenbushi Capital等知名投资者那里获得了数千万美元的投资。
官方Twitter账号:https://twitter.com/BlockSecTeam
