📢 Gate廣場 #创作者活动第一期# 火熱開啓,助力 PUMP 公募上線!
Solana 爆火項目 Pump.Fun($PUMP)現已登入 Gate 平台開啓公開發售!
參與 Gate廣場創作者活動,釋放內容力量,贏取獎勵!
📅 活動時間:7月11日 18:00 - 7月15日 22:00(UTC+8)
🎁 活動總獎池:$500 USDT 等值代幣獎勵
✅ 活動一:創作廣場貼文,贏取優質內容獎勵
📅 活動時間:2025年7月12日 22:00 - 7月15日 22:00(UTC+8)
📌 參與方式:在 Gate 廣場發布與 PUMP 項目相關的原創貼文
內容不少於 100 字
必須帶上話題標籤: #创作者活动第一期# #PumpFun#
🏆 獎勵設置:
一等獎(1名):$100
二等獎(2名):$50
三等獎(10名):$10
📋 評選維度:Gate平台相關性、內容質量、互動量(點讚+評論)等綜合指標;參與認購的截圖的截圖、經驗分享優先;
✅ 活動二:發推同步傳播,贏傳播力獎勵
📌 參與方式:在 X(推特)上發布與 PUMP 項目相關內容
內容不少於 100 字
使用標籤: #PumpFun # Gate
發布後填寫登記表登記回鏈 👉 https://www.gate.com/questionnaire/6874
🏆 獎勵設置:傳播影響力前 10 名用戶,瓜分 $2
Poly Network黑客攻擊分析:合約漏洞導致跨鏈資金被盜
Poly Network遭受黑客攻擊事件分析
近日,跨鏈互操作協議Poly Network遭受黑客攻擊,引發了業內廣泛關注。安全專家團隊對此次事件進行了深入分析,認爲攻擊者並非通過私鑰泄露實施攻擊,而是利用合約漏洞修改了關鍵參數。
攻擊核心
攻擊者通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數,傳入精心構造的數據,成功修改了EthCrossChainData合約的keeper地址。這一操作使攻擊者獲得了提取合約資金的權限。
攻擊細節
攻擊的關鍵在於EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數執行特定的跨鏈交易。
EthCrossChainData合約的owner爲EthCrossChainManager合約,因此後者可以調用前者的putCurEpochConPubKeyBytes函數修改keeper。
攻擊者利用verifyHeaderAndExecuteTx函數,傳入特制數據,使_executeCrossChainTx函數執行了修改keeper地址的操作。
成功替換keeper地址後,攻擊者便可構造交易,從合約中提取任意數量的資金。
攻擊流程
攻擊者首先通過EthCrossChainManager合約的verifyHeaderAndExecuteTx函數調用putCurEpochConPubKeyBytes函數,更改了keeper。
隨後,攻擊者利用新的keeper權限,實施了多筆資金提取操作。
攻擊完成後,由於keeper被修改,導致其他用戶的正常交易被拒絕執行。
類似的攻擊模式也在以太坊網路上重現。
結論
此次攻擊的核心在於EthCrossChainData合約的keeper可被EthCrossChainManager合約修改,而後者的verifyHeaderAndExecuteTx函數又可執行用戶傳入的數據。攻擊者正是利用這一機制,通過構造特定數據,成功修改了keeper地址,進而獲取了合約資金的控制權。
這一事件再次凸顯了智能合約安全審計的重要性,特別是在跨鏈操作等復雜場景中,更需要對合約邏輯進行全面嚴格的檢查,以防範潛在的安全風險。