Halaman Utama
Berita
Butiran

BlockSec Mengenal Punca Utama Kerentanan Aztec sebagai Ketidaksesuaian Antara numRealTxs dan Set Transaksi

iconKuCoinFlash
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AZTEC
$0.017376.62%
AI summary iconRingkasan

expand icon
BlockSec telah mengeluarkan berita baru mengenai kelemahan Aztec, mengenal pasti punca utamanya sebagai ketidaksepadanan antara numRealTxs dan set transaksi dalam RollupProcessorV3. Penyerang memanfaatkan kelemahan ini untuk mencipta baki tanpa sokongan dan menarik aset. Berita kelemahan ini menekankan bagaimana deposit sebenar diletakkan dalam slot yang lebih lewat sementara numRealTxs ditetapkan kepada nilai yang lebih kecil, melewati pemeriksaan penting. Kontrak telah dikemaskini pada 10 April 2024, tanpa audit luar.

Berita ME, 15 Jun (UTC+8), BlockSec Phalcon memperbaharui analisis insiden lubang keamanan Aztec. Setelah penyiasatan mendalam, punca utama insiden ini bukanlah kekurangan kawalan akses, tetapi numRealTxs dalam RollupProcessorV3 tidak diikat secara paksa dengan set transaksi yang dikenakan oleh bukti ZK. Secara khusus, laluan pengesahan bukti akan menghuraikan semua transaksi dalam encodedInnerTxData dan memasukkannya ke dalam pokok Merkle rollup, manakala logik penyelesaian L1 hanya memproses n slot yang telah dihuraikan pertama sebanyak numRealTxs. Penyerang memanfaatkan ketidakkonsistenan ini dengan meletakkan transaksi deposit sebenar di slot yang lebih belakang, sambil menetapkan numRealTxs kepada nilai kecil, dengan itu mengelakkan pemeriksaan seperti decreasePendingDepositBalance(), mencipta baki aset tanpa sokongan dan berjaya menariknya. Dalam transaksi serangan, penyerang mencipta baki tanpa sokongan secara serentak pada pelbagai aset, kemudian menariknya melalui proses penarikan biasa. Selain itu, walaupun Aztec Connect telah dihentikan pada 31 Mac 2024, kontrak RollupProcessorV3 masih mengalami peningkatan tanpa audit luar pada 10 April. (Sumber: Foresight News)

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.