Back to Blog

Poly网络黑客漏洞修复补丁的非正式安全审查

Code Auditing
August 15, 2021

在本篇博客中,我们将分享我们对修复近期Poly网络漏洞的补丁的非正式安全评估。

免责声明:

我们仅对该补丁进行非正式安全审查。我们的评估表明,该补丁可以修复在2021年8月10日之前遭受攻击的漏洞。然而,我们的审查并不保证项目中其他组件不存在其他漏洞。

我们的审查

基本上,修复该漏洞的方法是使用白名单。白名单在创建EthCrossChainManager时进行初始化。通过这样做,该补丁可以确保以下安全属性:

  • 属性一:只有白名单中的合约才能调用crossChain函数,该函数用于启动跨链交易。
  • 属性二:只有白名单中的方法和合约才能被跨链交易调用。

通过强制执行上述属性,我们认为该补丁可以修复该漏洞。

请注意,我们仅审查了用于修复BSC和以太坊漏洞的特定补丁。我们不确定其他支持原生跨链交易的链是否具有属性一(未审查相应代码的更改)。此外,该补丁并未对Poly链进行安全增强,我们认为,Poly链可能是实施安全策略的更好地方(无需信任源链和目标链)。

致谢:Yufeng Hu, Siwei Wu, Lei Wu, Yajin Zhou @ BlockSecTeam

关于BlockSec

BlockSec是一家开创性的区块链安全公司,由一群全球顶尖的安全专家于2021年创立。公司致力于提升新兴Web3世界的安全性和可用性,以促进其大规模采用。为此,BlockSec提供智能合约和EVM链安全审计服务,用于安全开发和主动阻止威胁的Phalcon平台,用于资金追踪和调查的MetaSleuth平台,以及供Web3开发者高效地在加密世界中冲浪的MetaSuites扩展。

迄今为止,公司已服务包括MetaMask、Uniswap Foundation、Compound、Forta和PancakeSwap在内的300多家尊贵客户,并在两轮融资中从Matrix Partners、Vitalbridge Capital和Fenbushi Capital等知名投资者那里获得了数千万美元的投资。

官方网站:https://blocksec.com/

官方Twitter账号:https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit