前言
北京時間2022年2月5日晚,http://Meter.io跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Meta正準備裁減其元宇宙戰略核心部門Reality Labs:5月12日消息,Meta Platforms(Facebook)的一位發言人周三向路透社證實,正準備裁減Reality Labs部門,這個部門是Meta元宇宙戰略的核心,目的在于推動將公司的硬件和所謂的元宇宙戰略。Meta首席技術官Andrew Bosworth在周二的每周問答會議上,告訴了實驗室的員工,預計這些變化將在一周內宣布。此前消息,Meta元宇宙部門Reality Labs一季度虧損29億美元。(路透社)[2022/5/12 3:09:59]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
以太坊 DApp 瀏覽器 MetaMask 擬于 11 月進行重大代碼更改,以簡化 API:以太坊 DApp 瀏覽器 MetaMask 計劃從今年 11 月 16 日起進行重大代碼更改,例如,停止注入「window.web3」,對「window.ethereum」API 進行重大更改,以簡化化 MetaMask API 和為用戶提供更快速、更可靠的服務。[2020/8/16]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
動態 | 以太坊輕錢包 MetaMask上月活躍用戶約26.4萬 交易筆數約151萬:以太坊輕錢包MetaMask公布其4月用戶數據,周活躍用戶約9萬,月活躍用戶約26.4萬,周訪問量約32萬,表明活躍用戶平均每周訪問錢包4.9次。交易量方面,MetaMask在4月交易筆數約151萬,在以太坊主網總交易量近100萬筆,在25種DApp上的以太坊主網交易筆數逾 5000。此外,MetaMask在過去的兩個月新增8.9萬個新錢包和5.3萬個接入錢包。[2019/5/24]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。
而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行ERC20代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于http://Meter.io跨鏈橋depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
2022年4月2日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,InverseFinance項目遭受攻擊,累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析.
1900/1/1 0:00:00根據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為8,208,774,620美元,突破82億美元.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00本篇文章,我想深入地探討一下NFT憑證的機制以及它是如何工作的。Web3用戶可以通過參加活動以及參與協議治理來獲得相關憑證。與其他類型的NFT想比,代幣化憑證具有不同的價值.
1900/1/1 0:00:00據最新消息,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下今日通過社交媒體表示,波聯儲于最近三日已經投入20億美元在公開市場購買USDT,來保證USDT的匯率穩定.
1900/1/1 0:00:002022年3月9日,美國總統拜登正式簽署數字資產行政令,全面闡述美國數字資產監管行動框架。代表著美國政府為控制快速增長的行業所做的重大努力,也意味著區塊鏈將迎來“美國式監管”.
1900/1/1 0:00:00