In diesem Blog teilen wir unsere informelle Sicherheitsüberprüfung des Patches zur Behebung der kürzlichen Poly-Netzwerk-Schwachstelle.
Haftungsausschluss:
Wir bieten nur eine informelle Sicherheitsüberprüfung des Patches an. Unsere Bewertung zeigt, dass der Patch die Schwachstelle beheben kann, die am 10. August 2021 angegriffen wurde. Unsere Überprüfung garantiert jedoch nicht, dass in anderen Komponenten des Projekts keine weiteren Schwachstellen vorhanden sind.
Unsere Überprüfung
Grundsätzlich ist die Methode zur Behebung der Schwachstelle die Verwendung von Zulassungslisten. Die Zulassungslisten werden beim Erstellen des EthCrossChainManager initialisiert. Dadurch kann dieser Patch die folgenden Sicherheitseigenschaften gewährleisten.
- Eigenschaft eins: Nur der Vertrag in den Zulassungslisten kann die CrossChain-Funktion aufrufen, die zum Starten der Cross-Chain-Transaktion verwendet wird.
- Eigenschaft zwei: Nur die Methode und der Vertrag in den Zulassungslisten können von der Cross-Chain-Transaktion aufgerufen werden.
Durch die Durchsetzung der oben genannten Eigenschaften glauben wir, dass der Patch die Schwachstelle beheben kann.
Beachten Sie, dass wir nur den spezifischen Patch überprüfen, der zur Behebung der Schwachstelle für BSC und Ethereum verwendet wird. Wir sind uns nicht sicher, ob andere Ketten mit nativer Unterstützung von Cross-Chain-Transaktionen die Sicherheitseigenschaft eins aufweisen (ohne die Änderung des entsprechenden Codes zu überprüfen). Außerdem führt dieser Patch keine Sicherheitsverbesserungen auf der Poly-Kette durch, was unserer Meinung nach ein besserer Ort für Sicherheitspolitik wäre (ohne der Quell- und Zielkette zu vertrauen).
Credits: Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
Über BlockSec
BlockSec ist ein führendes Unternehmen für Blockchain-Sicherheit, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit der aufstrebenden Web3-Welt, um deren massenhafte Einführung zu erleichtern. Zu diesem Zweck bietet BlockSec Sicherheitsaudits für Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die Sicherheitsentwicklung und proaktive Bedrohungsabwehr, die MetaSleuth-Plattform für die Nachverfolgung von Geldern und Ermittlungen sowie die MetaSuites-Erweiterung für Web3-Entwickler, die sich effizient in der Kryptowelt bewegen, an.
Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge in US-Dollar erhalten.
Offizielle Website: https://blocksec.com/
Offizieller Twitter-Account: https://twitter.com/BlockSecTeam
