En este blog, compartiremos nuestra revisión informal de seguridad de el parche para corregir la reciente vulnerabilidad de la red Poly.
Descargo de responsabilidad:
Solo proporcionamos una revisión informal de seguridad del parche. Nuestra evaluación muestra que el parche puede corregir la vulnerabilidad que fue atacada previamente el 10 de agosto de 2021. Sin embargo, nuestra revisión no garantiza que no existan otras vulnerabilidades en otros componentes del proyecto.
Nuestra revisión
Básicamente, el método para corregir la vulnerabilidad consiste en usar listas de permitidos. Las listas de permitidos se inicializan al crear el EthCrossChainManager. Al hacerlo, este parche puede garantizar las siguientes propiedades de seguridad.
- Propiedad uno: Solo el contrato en las listas de permitidos puede invocar la función crossChain, que se utiliza para iniciar la transacción entre cadenas.
- Propiedad dos: Solo el método y el contrato en las listas de permitidos pueden ser invocados por la transacción entre cadenas.
Al aplicar las propiedades anteriores, creemos que el parche puede corregir la vulnerabilidad.
Tenga en cuenta que solo revisamos el parche específico que se utiliza para corregir la vulnerabilidad en BSC y Ethereum. No estamos seguros de si otras cadenas con soporte nativo de transacciones entre cadenas tienen la propiedad de seguridad uno o no (sin revisar los cambios en el código correspondiente). Además, este parche no realiza mejoras de seguridad en la cadena Poly, que creemos podría ser un mejor lugar para las políticas de seguridad (sin confiar en la cadena de origen y destino).
Créditos: Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
Acerca de BlockSec
BlockSec es una empresa pionera en seguridad blockchain establecida en 2021 por un grupo de expertos en seguridad de renombre mundial. La empresa está comprometida con mejorar la seguridad y la usabilidad para el emergente mundo Web3 con el fin de facilitar su adopción masiva. Con este fin, BlockSec ofrece servicios de auditoría de seguridad de contratos inteligentes y cadenas EVM, la plataforma Phalcon para el desarrollo de seguridad y el bloqueo proactivo de amenazas, la plataforma MetaSleuth para el rastreo e investigación de fondos, y la extensión MetaSuites para que los desarrolladores de web3 naveguen de manera eficiente en el mundo cripto.
Hasta la fecha, la empresa ha atendido a más de 300 distinguidos clientes como MetaMask, Uniswap Foundation, Compound, Forta y PancakeSwap, y ha recibido decenas de millones de dólares estadounidenses en dos rondas de financiamiento de inversores destacados, entre ellos Matrix Partners, Vitalbridge Capital y Fenbushi Capital.
Sitio web oficial: https://blocksec.com/
Cuenta oficial de Twitter: https://twitter.com/BlockSecTeam
