以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

Meter.io攻擊事件分析_DEP:DEPE

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年2月5日晚,http://Meter.io?跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎信息

tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Meta將推出具有個性的AI聊天機器人:金色財經報道,Facebook和Instagram的母公司Meta計劃發布具有類人性格的人工智能聊天機器人。知情人士表示,聊天機器人的原型已經在開發中,最終產品能夠與用戶進行人類層面的討論。這一系列的聊天機器人將能夠展示不同的個性,預計最早將于下個月發布。該公司已經開發了一款像美國前總統亞伯拉罕·林肯一樣說話的機器人,以及一款像沖浪者一樣說話的旅行建議機器人。[2023/8/1 16:11:33]

攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

SushiSwap社區發起提案草案,建議在Meter部署SUSHI:1月7日消息,SushiSwap社區發起提案草案,建議在Meter部署SUSHI。[2022/1/7 8:32:13]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

聲音 | Coin Metrics數據工程師:以太坊伊斯坦布爾升級后,智能合約調用Gas供不應求:Coin Metrics數據工程師Antoine Le Calvez在一系列推文中指出了以太坊伊斯坦布爾升級帶來的“負面后果”:“雖然技術上是成功的,但最近的以太坊伊斯坦布爾升級并非沒有負面影響。一些EVM操作被重新定價,成本更高,這影響了一些智能合約活動。” 在最新的網絡升級中,EIP主要集中在降低成本、為智能合約引入新功能等方面。然而,據Calvez透露,自從升級以來,智能合約的Gas消耗量激增。“一個調用被認為是一個契約函數的本地調用,它不會在區塊鏈上廣播或發布任何內容。”Calvez分享了一份圖表,并說明道:“在全球范圍內,智能合約調用Gas的供不應求情況在升級之后變得更加頻繁。失敗率是原來的四倍多。”此外,Calvez指出,像Gemini這樣的大型交易所也受到了同樣的影響。以太坊開發者Tim Beiko也證實了Calvez的發現。[2019/12/10]

漏洞原理

漏洞關鍵在于跨鏈橋合約的?deposit?函數中,deposit?函數會根據?resourceID?取相應的depositHandler,并調用?deposit?函數進行實際的質押邏輯。

而在?depositHandler?的?deposit?函數中,存在邏輯缺陷,當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定,若為?_wtokenAddress?則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。

總結

本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:POSDEPPOSIDEPOTPOS價格DEPEposi幣最新消

幣安下載
XT.COM關於即將上線AMZE(The Amaze World)的公告_TPS:HTT

尊敬的XT用戶: XT.COM即將上線AMZE,並在主板區開放AMZE/USDT,AMZE/BTC交易對。具體開通時間,請關註後續公告。AMZE是旅遊業的實用代幣.

1900/1/1 0:00:00
FTX CEO:希望看到 CFTC 發揮更大的作用_SBF:YFTT幣

金色財經報道,加密衍生品交易所FTX首席執行官SamBankman-Fried在美國參議院數字資產相關聽證會上表示,希望看到CFTC發揮更大的作用,行業參與者愿意貢獻一部分資金.

1900/1/1 0:00:00
專訪加密藝術家Pak:為何與阿桑奇合作推出「審查」NFT?_NFT:genesischain

原文作者:VivienneChow 原文來源:元宇宙特攻隊 就在北京時間2021年2月9日18:44.

1900/1/1 0:00:00
XT.COM關於即將上線TEDDY(TeddyDoge)的公告_TPS:combo幣公司

尊敬的XT.COM用戶:XT.COM即將上線TEDDY,並在創新區開放TEDDY/USDT交易對。具體開通時間,請關註後續公告.

1900/1/1 0:00:00
元宇宙投資公司Everyrealm完成6000萬美元A輪融資,a16z領投_RES:元宇宙

據Decrypt2月11日消息,元宇宙投資公司RepublicRealm宣布更名為Everyrealm,并完成6000萬美元A輪融資,a16z領投.

1900/1/1 0:00:00
關於Hotcoin開放LDN交易的公告_TCO:BitcoinSoV

尊敬的用戶:服務器升級完成,Hotcoin將於(GMT8)2022年2月12日18:00開放LDN/USDT交易業務.

1900/1/1 0:00:00
ads