北京时间2021年8月10日,跨链桥项目Poly Network遭遇攻击,损失超过6亿美金。虽然攻击者在后续偿还被盗数字货币,但是这仍然是区块链历史上涉及金额最大的一次攻击事件。由于整个攻击过程涉及到不同的区块链平台,并且存在合约以及Relayer之间的复杂交互,对于攻击的完整过程和漏洞的根本原因,现有分析报告并未能梳理清楚。
整个攻击分为两个主要阶段,包括修改keeper签名和最终提币。对于第二阶段,由于keeper签名已经被修改,因此攻击者可以直接构建恶意提币交易,具体可以参见我们之前的报告。然而对于修改keeper签名的交易是如何最终在目标链执行的,目前并没有详细的文章阐明。而这一步是攻击的最核心步骤。
本报告从修改keeper签名交易入手(Ontology链上交易0xf771ba610625d5a37b67d30bf2f8829703540c86ad76542802567caaffff280c),分析了背后的原理和漏洞的本质。我们发现以下几个原因是Keeper能被修改的原因:
源链上(Ontology)的relayer没有对上链的交易做语义校验,因此包含修改keeper恶意交易可以被打包到poly chain上
目标链上(以太坊)上的relayer虽然对交易做了校验,但是攻击者可以直接调用以太坊上的EthCrossChainManager合约最终调用EthCrossChainData合约完成签名修改
攻击者精心够着了能导致hash冲突的函数签名,从而调用putCurEpochConPubKeyBytes完成对签名的修改
整个过程中的交互流程如下:
Ontology交易 -> Ontology Relayer -> Poly Chain -> Ethereum Relayer -> Ethereum
以太坊
0x838bf9e95cb12dd76a54c9f9d2e3082eaf928270: EthCrossChainManager
0xcf2afe102057ba5c16f899271045a0a37fcb10f2: EthCrossChainData
瑞典央行退出 CBDC 技术测试的第二阶段:金色财经报道,在完成第二阶段技术试验后,瑞典中央银行已将其与埃森哲作为其 CBDC 实验项目供应商的合同再延长一年。在第 2 阶段的技术测试中,瑞典央行检查了离线功能、性能和外部参与者(包括 Handelsbanken 和 TietoEvry)与 e-krona 网络的集成等问题。电子克朗部门负责人 Mithra Sundberg表示,在第 3 阶段,如果决定发行电子克朗,我们将开始制定电子克朗要求的基础。进行的所有测试、分析和调查将为这项工作奠定基础。我们还将借鉴该领域目前正在发生的快速国际发展的经验。
此外,该项目将与技术供应商进行对话,并将听取支付市场各方和公众的意见。我们还将在有限的范围内继续进行一些技术测试,以了解更多信息。因此,我们将与埃森哲作为技术供应商的协议从 2022 年 2 月起再延长一年。(finextra)[2022/2/22 10:08:56]
0x250e76987d838a75310c34bf422ea9f1ac4cc906: LockProxy
0xb1f70464bd95b774c6ce60fc706eb5f9e35cb5f06e6cfe7c17dcda46ffd59581: 修改keeper的交易
Ontology
0xf771ba610625d5a37b67d30bf2f8829703540c86ad76542802567caaffff280c: 修改keeper的交易
Poly
0x1a72a0cf65e4c08bb8aab2c20da0085d7aee3dc69369651e2e08eb798497cc80: 修改keeper的交易
整个攻击大致可以分为三个步骤。第一个步骤是在 Ontology 链生成一条恶意交易(0xf771ba610625d5a37b67d30bf2f8829703540c86ad76542802567caaffff280c),第二个步骤是修改以太坊EthCrossChainData合约中的keeper签名,第三个步骤构造恶意交易发起最终攻击和提币。
步骤一
攻击者首先在Ontology发起了一笔跨链交易(0xf771ba610625d5a37b67d30bf2f8829703540c86ad76542802567caaffff280c),里面包含了一个攻击payload:
以太坊未确认交易为243,670笔:金色财经消息,据OKLink数据显示,以太坊未确认交易243,670笔,当前全网算力为796.47TH/s,全网难度为10.77P,当前持币地址为68,338,834个,同比增加157,150个,24h链上交易量为1,822,704ETH,当前平均出块时间为13s。[2021/11/13 6:50:24]
可以看出交易包含了精心设计的函数名(图中以6631开头的数字,转换后即 f1121318093),目的在于通过造成哈希冲突(hash collision)的方式调用putCurEpochConPubKeyBytes函数(属于以太坊上的EthCrossChainData合约)。关于哈希函数冲突的细节在网络上已有很多讨论,可以参考.
随后,该笔交易被Ontology Relayer 接收,注意这里并没有很严格的校验。该交易会通过Relayer在Poly Chain成功上链(0x1a72a0cf65e4c08bb8aab2c20da0085d7aee3dc69369651e2e08eb798497cc80)。Ethereum Relayer会感知到新区块的生成。
然而,这笔交易被Ethereum Relayer拒绝了。原因在于Ethereum Relayer对目标合约地址有校验,只允许LockProxy合约作为目标地址,而攻击者传入的是EthCrossChainData地址。
因此,攻击者攻击之路在此中断。但如前所述,包含恶意payload的攻击交易已经在Poly Chain成功上链,可被进一步利用。
步骤二
攻击者手动发起交易,调用EthCrossChainManager合约中的verifyHeaderAndExecuteTx函数,将之前一步保存在Ploy Chain区块中的攻击交易数据作为输入。由于该区块是poly chain上的合法区块,因此可以通过verifyHeaderAndExecuteTx中对于签名和merkle proof的校验。然后执行EthCrossChainData合约中的putCurEpochConPubKeyBytes函数,将原本的4个keeper修改为自己指定的地址(0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B)。
美国SEC希望从Ripple获得更多的Slack通信资料:美国证券交易委员会(SEC)与基于区块链的支付公司Ripple之间的法律斗争仍在继续,美国证券交易委员会表示,此前瑞波公司制作的Slack信息并不完整,大量的数据没有被收集,监管机构希望进一步获得Ripple的内部通信。Ripple高管的律师James Filan在Twitter上宣布,SEC周一向纽约南区提交了一份动议,要求法官Sarah Netbrun命令Ripple出示并提交其在商业通信平台Slack上的员工信息。
该文件指出,瑞波公司之前向SEC提交的Slack信息并不完整,该公司在 \"多次声称其Slack信息完整 \"后,最终承认这是由于 \"数据处理错误 \"造成的。SEC认为,Ripple只收集了一小部分Slack信息,大量的Slack数据没有被收集或搜索到。(cointelegraph)[2021/8/10 1:46:37]
步骤三
在keeper被修改之后,攻击者直接调用目标链上的verifyHeaderAndExecuteTx函数(而不需要再通过poly chain -- 因为keeper已经被修改,攻击者可以任意签署在目标链看来合理的poly chain上的块),最终调用至Unlock函数(属于LockProxy合约),大量地转移资金,给项目方带来了严重的损失。具体的攻击细节可参考我们之前的报告。
在本攻击过程中,Ontology方和以太坊方均有Relayer负责将来自Ontology的交易在poly Chain上链,以及将poly chain上的交易放到以太坊。这两个Relayer是由Go语言实现的服务进程。
然而我们发现,这两个Relayer都缺乏有效的校验。这导致
攻击者可以在Ontology构造一条恶意的跨链交易,并且成功打包到poly chain上。
虽然在以太坊的Relayer具有校验功能,但是攻击者可以直接同以太坊上的链上合约进行交互,直接执行恶意的函数。
Ontology Relayer完全信任来自Ontology上的跨链交易
Poly Network 的 ont_relayer(https://github.com/polynetwork/ont-relayer) 负责监听 Ontology 链上的跨链交易并将其打包入传入Poly Chain.
注:
在Ontology Relayer中,Side 指 Ontology Chain; Alliance 指 Poly Chain.
CrossChainContractAddress 是 Ontology 链上原生编号为 09 的智能合约.
上图中,Ontology Relayer启动时开启三个 Goroutines 分别负责监听 Ontology Chain 和 Poly Chain 的跨链交易,以及对 Poly Chain 上的跨链交易做状态检查。在本报告中,我们只关注69行的监听Side的代码逻辑。
在上图中,Ontology Relayer 调用 Ontology 链提供的 RPC 接口(第 215 行,调用SDK函数 GetSmartContractEventByBlock) 获取区块中触发的智能合约事件;然后在第 228 和 232 行表明 Ontology Relayer 只监听 Ontology Chain 上由 CrossChainContractAddress 触发的 makeFromOntProof 事件;
上图中,在处理 Ontology Chain 上的跨链交易时,Ontology Relayer 总共做了五次校验,分别是两次向 Ontology Chain 发送的 RPC 请求校验(check 1 和 check 4), 以及三次参数是否为空的校验(check2, check3, 和check5)。这五次校验都属于常规校验,并未对来自 Ontology Chain 上的跨链交易做语义上的校验; 第 167 和 171 行取出了在目标链上执行所需要的交易参数信息(proof, auditPath);第 183 行向 Poly Chain 发送交易;
Ontology Relayer 在构造了 Poly Chain 上的交易后便向 Poly Chain 发起 RPC 请求发送交易(第 164 行,函数调用 SendTransaction);
这个名为 ProcessToAliianceCheckAndRetry 的 Goroutine 也仅仅是做了重发失败交易的工作,仍然未对来自 Ontology Chain 上的跨链交易做任何语义上的校验。
至此,我们可以看出 ont-relayer 监听所有来自 Ontology Chain 由 CrossChainContractAddress 触发的 makeFromOntProof 事件,并未对其做任何语义上的校验,便向 Poly Chain 转发了交易。而任何人向 Ontology 发送的任何跨链交易都会触发 CrossChainContractAddress 的 makeFromOntProof 事件,所以 Ontology Relayer 会将所有来自 Ontology 上的跨链交易都转发到 Poly chain 上。
Ethereum Relayer中的无效校验
Ethereum Relayer 负责监听 Poly Chain 并将目标链为 Ethereum 的跨链交易转发到 Ethereum 上。
Ethereum Relayer 启动一个 Goroutine 来监控 Poly Chain;
Ethereum Relayer监听所有 Poly Chain 上目标链为 Ethereum 的跨链交易 (第 275 至 278 行); Ethereum Relayer会校验跨链交易的目标合约是否为 config.TargetContracts中指定的合约之一,如果不是则不会发送这笔跨链交易到 Ethereum 上(第 315 行)。
虽然 Ethereum Relayer 对 Poly Chain 上的跨链交易做了部分校验,比如限制了目标合约,但是与 Poly Chain 不同,任何人都可以向 Ethereum 上的EthCrossChainManager合约发送交易。换句话说,Ethereum Relayer 在这里做的校验没有实际的意义,只要包含恶意payload的跨链交易被成功打包进了 Poly Chain(虽然没有被relay转发到以太坊链上), 那么任何人都可以直接使用已经打包好的区块数据将payload发送到以太坊EthCrossChainManager合约并执行(这个过程中,可以通过merkle proof的校验,因为是已经正常上链的poly chain区块数据)。
攻击者正是利用了上述两个缺陷,完成了攻击流程中的步骤一和步骤二。
通过对整个攻击流程的完整梳理和详尽分析,我们认为Relayer的不完整校验是攻击得以发生的根本原因。其它(诸如利用hash冲突等)方面则更多地属于比较精彩的攻击技巧。总而言之,跨链的校验和鉴权是跨链系统安全的关键所在,值得社区付出更多的努力。
1.金色观察|以太坊的合并之路 伦敦升级之后,接下来最重要的是以太坊1.0链和2.0链的合并及升级。 这会是一个更为艰难的过程,其中包含目前rollup layer2的进程,也包含分片验证和以太坊2.0客户端等开发进度关系。
智能合约是根据合约上设定的预定条件自动执行且无需解释。由于区块链是一种分布式账本技术 (DLT),允许将数据全局存储在不同的服务器上,因此它在很大程度上依赖于这些数据库来确认交易。因此,智能合约正在呼吁消除管理开销。 智能合约代表以代码编写的条款和条件,一旦满足合约的预定义要求,这些条款和条件会自动将资金从一方转移到另一方。
PoW不是正走向消亡吗? Ergo是基于工作量证明(PoW)共识机制的区块链。投资者就PoW提出的最常见问题是:“为什么? 以太坊正在放弃PoW?PoW不是快消亡了吗?” 有趣的是,Ergo公链首席开发者Alex Churpenoy(译注:也是Ergo联合创始人)曾经就是权益证明(PoS)开发者。
近几周,美国加密行业的红色警报骤然拉响。 从加强对DeFi市场的监管,到推出面向整个加密行业的税收政策,美国加密行业遭到了监管部门的强力狙击,一场加密行业保卫战由此打响。 7月28日,一项旨在改善美国交通、电力和水资源的基础设施法案草案在参议院辩论的最后一刻,加入了向美国加密行业征税的条款。
美国证券交易委员会 (SEC) 公开文件显示,已有四家美国财富管理公司披露了截至2021年第二季度的灰度比特币信托(GBTC)持仓量,进一步证明机构正在加大数字资产的采用力度。
8月13日消息,美国证券交易委员会(SEC)主席Gary Gensler指出,确实需要监管加密货币交易并保护投资者和金融体系,也需要将这些交易、产品或平台纳入监管。 中币(ZB)研究院认为,美国SEC可能担心的是在中心化或DeFi平台进行加密货币交易时,交易标的可能为未注册代币,而目前的未注册代币仅涉及证券相关法规,还涉及商品法和银行法。