前言
北京時間2022年2月5日晚,http://Meter.io?跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
MetaMask宣布與EIP-4361兼容以支持以太坊登錄,并推出“域名綁定”功能:金色財經報道,Web3錢包MetaMask在推特上表示:“MetaMask現在與EIP-4361兼容,使用以太坊登錄。我們的部署還提供了‘域名綁定’功能,可以檢測來自惡意URL的簽名/批準。”[2023/3/24 13:23:20]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Meta計劃針對VR頭顯推出Meta賬號,以取代Facebook賬號:7月9日消息,當地時間周四,Meta CEO馬克·扎克伯格宣布,下個月起,用戶登錄Quest時,不再需要Facebook賬號。公司計劃推出Meta賬號,以供用戶在VR設備中使用。(科創板日報)[2022/7/9 2:02:00]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
動態 | MetaCartel 分叉 MolochDAO,推出新型以太坊應用資助協議:據鏈聞消息,以太坊社區技術交流小組 MetaCartel 宣布分叉基于以太坊的新型治理協議 MolochDAO,推出MetaCartelDAO,希望探索通過智能合約方式和新型社區治理的方式,向以太坊生態中應用層產品的開發團隊提供資金資助。MetaCartelDAO 表示,將根據 DApp 的最終用戶使用狀況(如收入、用戶留存、產品增長等),向應用層產品的開發團隊提供資助,資助的發放將根據開發團隊產品取得的效果和完成狀況發放,并鼓勵開發團隊分享數據,與其他團隊共享經驗。MetaCartelDAO 將從新型治理協議 MolochDAO 分叉而來。MolochDAO 是由 SpankChain 首席執行官 Ameen Soleimani 發起的開源社區治理協議,目標是為以太坊基礎設施提供資金支持,該協議可以使投票、成員資格、治理成為可能,代碼則是協調機制。鏈聞此前報道,MolochDAO 目前總共得到了近 70 萬美元的資金支持,其中以太坊創始人 Vitalik Buterin 和 ConsenSys 創始人 Joe Lubin 分別給該項目提供了 1000 枚 ETH 的資助,此外,ConsenSys 和以太坊基金會也分別向該協議提供了 2000 枚 ETH 的資助。[2019/5/12]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的?deposit?函數中,deposit?函數會根據?resourceID?取相應的depositHandler,并調用?deposit?函數進行實際的質押邏輯。
而在?depositHandler?的?deposit?函數中,存在邏輯缺陷,當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定,若為?_wtokenAddress?則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
TheLockALPH&Earn#2(term14days)willlaunchat8:00UTConFeb16atGate.io''s“HODL&Earn”section.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM將支持EthereumClassic網絡升級及硬分叉,具體安排如下:XT.COM現已暫停ETC代幣的充值、提現業務.
1900/1/1 0:00:00據中國商界雜志消息,現代傳播集團2月10日正式宣布,有關將公司英文名稱由“ModernMediaHoldingsLimited”更改為“MetaMediaHoldingsLimited”及中文雙.
1900/1/1 0:00:00親愛的用戶: 為了給用戶帶來較好的交易深度與使用體驗,幣安將於2022年02月17日11:00移除以下交易對:FIDA/BNB、FIRO/ETH、QSP/ETH注意:用戶還可以在幣安上的其它交易.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於(GMT8)2022年2月16日17:00開放EPS/USDT交易業務.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線VCG,並開啟VCG/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月15日16:30; VCG ZT創新板即將上線HF ?:據官網公.
1900/1/1 0:00:00