前言
北京時間2022年2月5日晚,http://Meter.io?跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
開放金融公鏈Halo Network同元宇宙土地協議MetaPoint達成戰略合作關系:據官方消息,開放金融公鏈Halo Network近期與元宇宙土地協議MetaPoint正式達成戰略合作伙伴關系,雙方將就MetaPoint的底層經濟活動運作基礎建設、元宇宙商業場景體驗優化以及資產安全性保障等方向進行一系列深度合作,通過這次合作,MetaPoint將為用戶提供快速、價格低廉、場景多樣化的元宇宙體驗。
據悉,MetaPoint是一個基于去中心化土地建立的元宇宙協議,在一個沙盒世界中,模擬人類現代文明起源與發展,圍繞去中心化土地發展更加豐富多樣化的場景。此前,MetaPoint已獲得Aquaria、Blocklofty、Synix Capital、Tricer等機構的基礎投資,為MetaPoint生態發展提供全方位支持。[2022/9/21 7:10:28]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
扎克伯格:Meta正與蘋果展開元宇宙競爭,這將決定互聯網發展方向:7月28日消息,Meta CEO馬克·扎克伯格近日在公司內部會議上表示,Meta與蘋果正在元宇宙領域展開一場“深刻的、理念性的競爭”,這場競爭將決定“互聯網應該往哪個方向發展”。扎克伯格還表示,Meta將自己定位成更加開放、實惠的蘋果替代品。
扎克伯格表示,Meta和蘋果在競爭方向和理念上不同。具體而言,蘋果認為,通過親力親為和整合自己的產品,能夠提供更好的消費者體驗。但Meta認為,不同的公司在各自的專長領域有很多可以做的事情,這將幫助建立一個更大的生態系統。(The Verge)[2022/7/28 2:43:37]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Metacartel Ventures合伙人:美國有方法監管DeFi平臺:金色財經報道,在中心化加密交易平臺BitMEX受到指控之后,Metacartel Ventures合伙人Adam Cochran表示,如果去中心化金融(DeFi)平臺違反了美國的監管規定,當局能夠而且將會找到方法追究其責任。Cochran表示,DeFi并非超出美國監管機構的能力范圍,盡管當局不能直接關閉諸如Uniswap之類的去中心化協議,但它們可能會追蹤持有該平臺網站管理員密鑰的開發人員。[2020/10/6]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的?deposit?函數中,deposit?函數會根據?resourceID?取相應的depositHandler,并調用?deposit?函數進行實際的質押邏輯。
而在?depositHandler?的?deposit?函數中,存在邏輯缺陷,當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定,若為?_wtokenAddress?則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Doyouwanttoachievewin-wincooperationwithGate.io?TheGate.ioaffiliateprogram.
1900/1/1 0:00:002月11日,據第一財經消息,今日數字貨幣股仍保持強勢,截至收盤,同花順該板塊指數漲超2%,板塊內先進數通、四方精創、御銀股份、恒寶股份等多股漲停.
1900/1/1 0:00:00據Techcrunch2月9日消息,以太坊開發者工具平臺Hardhat的開發公司NomicLabs宣布將轉型為非營利組織,并將更名為“Nomic基金會”。目標是改善協議的開發者生態系統.
1900/1/1 0:00:00本文對Solana開發資源進行了整理,開發技術交流&黑客松報名請進電報群了解更多。Solana黑客松火熱進行中,全球賽區高達500萬美元總獎金池種子輪融資,設有支付、DeFi、Web3、.
1900/1/1 0:00:00尊敬的AAX用戶: AAX即將上線QUIDD,具體時間安排如下:開放充幣時間:2022年2月14日17:00(東八區時間)開放提幣時間:2022年2月14日17:00(東八區時間)開放交易時間:.
1900/1/1 0:00:00尊敬的WEEX用戶您好!WEEX已正式上線MANA/USDT正向合約。其中合約采用美元穩定幣正向計價,提供5倍、10倍、20倍、50倍等多種不同杠桿類型,滿足不同投資者需求.
1900/1/1 0:00:00