Neste blog, compartilharemos nossa revisão informal de segurança sobre o patch para corrigir a recente vulnerabilidade da rede Poly.
Aviso Legal:
Fornecemos apenas uma revisão informal de segurança do patch. Nossa avaliação mostra que o patch pode corrigir a vulnerabilidade que foi atacada anteriormente em 10 de agosto de 2021. No entanto, nossa revisão não garante que não existam outras vulnerabilidades em outros componentes do projeto.
Nossa revisão
Basicamente, o método para corrigir a vulnerabilidade é o uso de listas de permissões. As listas de permissões são inicializadas durante a criação do EthCrossChainManager. Ao fazer isso, este patch pode garantir as seguintes propriedades de segurança.
- Propriedade um: Somente o contrato nas listas de permissões pode invocar a função crossChain, que é utilizada para iniciar a transação entre cadeias.
- Propriedade dois: Somente o método e o contrato nas listas de permissões podem ser invocados pela transação entre cadeias.
Ao aplicar as propriedades acima, acreditamos que o patch pode corrigir a vulnerabilidade.
Observe que revisamos apenas o patch específico utilizado para corrigir a vulnerabilidade para BSC e Ethereum. Não temos certeza se outras cadeias com suporte nativo a transações entre cadeias possuem ou não a propriedade de segurança um (sem revisar as alterações no código correspondente). Além disso, este patch não realiza o aprimoramento de segurança na cadeia Poly, que consideramos ser um lugar mais adequado para políticas de segurança (sem depender da cadeia de origem e de destino).
Créditos: Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
Sobre a BlockSec
A BlockSec é uma empresa pioneira em segurança de blockchain, fundada em 2021 por um grupo de especialistas em segurança de renome mundial. A empresa está comprometida em aprimorar a segurança e a usabilidade para o emergente mundo Web3, com o objetivo de facilitar sua adoção em massa. Para isso, a BlockSec oferece serviços de auditoria de segurança de contratos inteligentes e cadeias EVM, a plataforma Phalcon para desenvolvimento seguro e bloqueio proativo de ameaças, a plataforma MetaSleuth para rastreamento e investigação de fundos, e a extensão MetaSuites para desenvolvedores web3 que navegam com eficiência no mundo cripto.
Até o momento, a empresa atendeu mais de 300 clientes de prestígio, como MetaMask, Uniswap Foundation, Compound, Forta e PancakeSwap, e recebeu dezenas de milhões de dólares em duas rodadas de financiamento de investidores de destaque, incluindo Matrix Partners, Vitalbridge Capital e Fenbushi Capital.
Site oficial: https://blocksec.com/
Conta oficial no Twitter: https://twitter.com/BlockSecTeam
