前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Meta计划降薪同时重启绩效考评:3月29日消息,据报道,社交媒体平台“脸书”的母公司Meta计划调低部分员工奖金,并重启每年两次的员工绩效考核制度。通常情况下,该公司员工连续两个业绩考核期获得低评级,就得离职。据《华尔街日报》报道,在最新一轮业绩考核中,上千名员工得到低于平均水平的评级。[2023/3/29 13:33:41]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Meta将旗下元宇宙社交应用Horizo??n Worlds月活用户数目标下调至28万:10月16日消息,Meta将旗下元宇宙社交应用Horizo??n Worlds年底的月活用户数目标从50万下调至28万。根据其获得的内部备忘录和文件显示,当前活跃用户数量低于20万,且自今年春季以来持续下降,大量用户在使用了一个月之后就离开了平台,留下的用户也仅仅访问了9%的元宇宙范围。(华尔街日报)[2022/10/16 14:29:23]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
Metalk跨链于BinanceNFT发售限量MintPass:据官方消息,Metalk于2022年4月21日 11am(UTC)将跨链于BinanceNFT发售限量MintPass,利用Web3.0的技术,提现后的BSC地址,将自动映射于ETH链上相同地址并取得Metalk创世NFT-对话者的铸造权益。
据官方介绍,Metalk为原生于区块链的社交软件,由世界重量级拳王-麦克.泰森(MikeTyson)担任社区大使,用Web3架构建立元宇宙社交王国,独创Chat2Earn、NFTBank等功能。NFTBank能兑换治理代币META。[2022/4/21 14:39:45]
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。