В этом блоге мы поделимся нашим неофициальным обзором безопасности патча для исправления недавней уязвимости в сети Poly.
Отказ от ответственности:
Мы предоставляем лишь неофициальный обзор безопасности данного патча. Наша оценка показывает, что патч способен устранить уязвимость, которая была использована при атаке 10 августа 2021 года. Однако наш обзор не гарантирует отсутствие других уязвимостей в иных компонентах проекта.
Наш обзор
По сути, метод исправления уязвимости заключается в использовании списков разрешенных адресов (allow lists). Эти списки инициализируются при создании EthCrossChainManager. Благодаря этому данный патч обеспечивает следующие свойства безопасности:
- Свойство первое: только контракт, включенный в список разрешенных, может вызывать функцию crossChain, которая используется для запуска межсетевой транзакции.
- Свойство второе: только методы и контракты из списка разрешенных могут быть вызваны в рамках межсетевой транзакции.
Мы считаем, что обеспечение вышеуказанных свойств позволяет исправить данную уязвимость.
Обратите внимание, что мы рассмотрели только конкретный патч, используемый для исправления уязвимости в сетях BSC и Ethereum. Мы не уверены, обладают ли другие сети с нативной поддержкой межсетевых транзакций первым свойством безопасности (без анализа изменений соответствующего кода). Кроме того, этот патч не выполняет усиление безопасности в самом блокчейне Poly, который, на наш взгляд, мог бы стать лучшим местом для реализации политик безопасности (без необходимости доверять исходной и целевой цепочкам).
Авторы: Юфэн Ху, Сивэй У, Лэй У, Яцзинь Чжоу @ BlockSecTeam
О компании BlockSec
BlockSec — передовая компания в области безопасности блокчейнов, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить безопасность и удобство использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. С этой целью BlockSec предоставляет услуги аудита безопасности смарт-контрактов и EVM-сетей, платформу Phalcon для разработки систем безопасности и проактивного предотвращения угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы разработчиков Web3 в криптомире.
На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в двух раундах финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.
Официальный сайт: https://blocksec.com/
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
