以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > MEXC > Info

Meter.io 攻擊事件分析_DEPO:posi幣是哪國的項目

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年2月5日晚,Meter.io 跨鏈協議遭到攻擊,損失約 430 萬美元。知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件并分析。

分析

基礎信息

tx(Moonriver):0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

花旗銀行選擇瑞士公司Metaco進行數字資產托管:6月22日消息,花旗銀行選擇瑞士加密貨幣托管公司Metaco進行數字資產托管。托管平臺與證券服務進行集成。據花旗銀行代表電子郵件顯示,花旗目前重點為Token化證券等。

此前消息,花旗支持比特幣期貨交易,曾于去年11月透露計劃雇傭100名員工來加強服務機構客戶的數字資產部門。[2022/6/22 1:24:01]

攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Web3社交應用Metalk正式啟動Chat2Earn用戶增長計劃:據官方消息,Metalk已于6月12日2PM(GMT)正式開放Dialoger-Metalk Genesis NFT預售,并同步推出Metalk Chat2Earn用戶增長計劃,用戶在Metalk應用中每日完成“聊天”、“答題”、“互動”等對應任務,將獲得平臺治理代幣$Meta獎勵。

據悉Metalk由拳王麥克.泰森(MikeTyson)擔任社區大使,是一款集NFT加密社群、財富值、MNS域名為一體的Web3原生炫富社交應用。[2022/6/12 4:20:23]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

Coin Metrics聯合創始人反駁比特幣挖礦正在造成環境災難的說法:3月31日,Coin Metrics聯合創始人Nic Carte針對彭博社專欄作家Noah Smith關于“比特幣挖礦浪費當地電力資源,剝奪普通用戶的電力”的說法進行了反駁。Carter指出比特幣挖礦實際上集中在有大量未使用能源的地區。(Cointelegraph)[2021/3/31 19:32:27]

ERC20Handler(depositHandler):0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。

而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行 ERC20 代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress == _wtokenAddress即可繞過處理,實現空手套白狼。

總結

本次攻擊事件核心原因在于 Meter.io 跨鏈橋 depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:POSIDEPODEPPOSposi幣是哪國的項目DEPI幣

MEXC
一碼難求的SocialFi平臺Monaco Planet憑什么引爆社群?_NAC:Hanacoin

長期以來,少數大公司主宰著互聯網,導致用戶對自己的數據和創作的控制權越來越少。這些公司要求用戶提供個人的數據以換取訪問他們的平臺和服務,然后再將這些數據進行貨幣化出售給廣告商以獲取利潤.

1900/1/1 0:00:00
去中心化社交圖譜協議CyberConnect是如何把數據返還給用戶的_BER:CYB

來源:?老雅痞(微信公眾號ID:laoyapicom)全球社交網絡巨頭的崛起賦予了他們集中式濫用用戶數據、侵犯用戶隱私和實施守門人審查的權力.

1900/1/1 0:00:00
三分鐘速覽 PlanckX:去中心化游戲聚合平臺_ANC:PLAN

撰文:Holmes 利用區塊鏈技術和通證激勵機制來解決開發者利益分配不均、用戶玩家資產歸屬等痛點,一直是游戲業者進入區塊鏈領域孜孜以求的目標.

1900/1/1 0:00:00
被低估的Terra生態究竟有無爆發的潛力?_比特幣:比特幣以太幣

Terra是一條基于Cosmos SDK所開發的區塊鏈,采用了權益質押證明(Proof of Stake)機制維護區塊鏈網絡的安全性和不可篡改性,它的原生Token是Luna.

1900/1/1 0:00:00
一站式跨鏈游戲資產商城Lootex完成900萬美元種子輪融資 GameFi與NFT生態整合再升級_OOT:GAM

一站式跨鏈游戲資產交易平臺Lootex近日宣布完成900萬美元種子輪融資,由Spartan Capital、Infinity Ventures Crypto、LD Capital和Akatsuk.

1900/1/1 0:00:00
Rangers Protocol:一個可以作為元宇宙區塊鏈基礎架構的協議_Rangers Protocol:BADGER價格

Rangers Protocol的核心是元宇宙區塊鏈基礎架構,它為DApp和資產提供了與多條不同鏈進行無摩擦交互的功能.

1900/1/1 0:00:00
ads