在本部落格中,我們將分享針對 修復近期 Poly Network 漏洞的修補程式 的非正式安全審查。
免責聲明:
我們僅對該修補程式提供非正式的安全審查。我們的評估顯示,該修補程式可以修復 2021 年 8 月 10 日遭受攻擊的漏洞。然而,我們的審查並不保證該專案的其他元件中不存在其他漏洞。
我們的審查
基本上,修復該漏洞的方法是使用許可名單(allow lists)。這些許可名單會在建立 EthCrossChainManager 時進行初始化。透過這種方式,此修補程式可以確保以下安全性屬性:
- 屬性一:只有在許可名單中的合約才能呼叫 crossChain 函數,該函數用於啟動跨鏈交易。
- 屬性二:只有在許可名單中的方法和合約才能被跨鏈交易調用。
透過強制執行上述屬性,我們認為該修補程式可以修復此漏洞。
請注意,我們僅審查了用於修復 BSC 和 Ethereum 漏洞的特定修補程式。我們無法確定其他原生支援跨鏈交易的鏈是否具備上述安全性屬性一(未審查對應程式碼的變更)。此外,此修補程式並未對 Poly chain 執行安全性增強,我們認為 Poly chain 本身是實施安全策略更好的位置(無需信任來源鏈和目的鏈)。
貢獻者:Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam
關於 BlockSec
BlockSec 是一家開創性的區塊鏈安全公司,由一群全球傑出的安全專家於 2021 年創立。公司致力於提升新興 Web3 世界的安全性和可用性,以促進其大規模採用。為此,BlockSec 提供智慧合約和 EVM 鏈的 安全審計 服務、用於安全開發與主動威脅防護的 Phalcon 平台、用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 開發者高效遨遊加密世界的 MetaSuites 擴充功能。
迄今為止,公司已服務超過 300 家受人尊敬的客戶,包括 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap,並在兩輪融資中獲得了包括經緯創投(Matrix Partners)、華映資本(Vitalbridge Capital)和分佈式資本(Fenbushi Capital)等傑出投資者數千萬美元的融資。
官方 Twitter 帳號:https://twitter.com/BlockSecTeam
