ME Haberleri'ne göre, 15 Haziran (UTC+8) tarihinde BlockSec Phalcon, Aztec açıklığı olayı analizini güncelledi. Derinlemesine araştırmalar sonucu, olayın temel nedeninin erişim kontrolü eksikliği değil, RollupProcessorV3'te numRealTxs'in ZK kanıtı tarafından zorunlu kılınan işlem setiyle güçlü bir şekilde bağlanmaması olduğu ortaya çıktı. Özellikle, kanıt doğrulama yolu, encodedInnerTxData'daki tüm işlemleri çözümler ve rollup Merkle ağacına eklerken, L1 setleme mantığı yalnızca ilk numRealTxs sayısı kadar çözümlenmiş yuvaları işler. Saldırgan, bu tutarsızlığı kullanarak gerçek yatırımları daha sonraki yuvalara yerleştirirken, numRealTxs değerini küçük bir sayıya ayarlayarak decreasePendingDepositBalance() gibi kontrolleri atlayarak desteklenmeyen varlık bakiyeleri oluşturdu ve bunları başarıyla çekti. Saldırı işlemi sırasında, saldırgan aynı anda birden fazla varlık üzerinde desteklenmeyen bakiyeler oluşturdu ve ardından normal çekim süreciyle bunları çekti. Ayrıca, Aztec Connect 31 Mart 2024'te hizmeti durdurulmuş olsa da, RollupProcessorV3 sözleşmesi 10 Nisan'da dışarıdan denetlenmemiş bir yükseltme yapıldı. (Kaynak: Foresight Haberleri)
BlockSec, Aztec zafiyetinin kök nedenini numRealTxs ile İşlem Seti arasındaki uyumsuzluk olarak belirledi
KuCoinFlashPaylaş
Özet
BlockSec, Aztec zafiyetiyle ilgili yeni bir zincir içi haber yayınladı ve kök nedenin RollupProcessorV3'te numRealTxs ile işlem seti arasındaki uyumsuzluk olduğunu belirledi. Saldırganlar, bu zafiyeti kullanarak onaylanmamış bakiyeler oluşturup varlıkları çekme fırsatı buldular. Zafiyet haberi, gerçek yatırımların daha sonraki slotlara yerleştirilirken numRealTxs'in daha küçük bir değere ayarlanarak ana kontrollerin atlandığını vurgulamaktadır. Sözleşme, 10 Nisan 2024'te dış bir denetim olmadan güncellendi.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.