月亮链 月亮链
Ctrl+D收藏月亮链
首页 > TUSD > 正文

POSI:Meter.io攻击事件分析-ODAILY_DEP

作者:

时间:1900/1/1 0:00:00

前言

北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

分析

基础信息

tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

苏富比NFT市场Sotheby’s Metaverse宣布拍卖Fidenza #725:金色财经报道,苏富比拍卖行链上二级NFT市场Sotheby’s Metaverse宣布将于5月20日凌晨02:00拍卖NFT Fidenza #725,出价13万美元。据金色财经观察,当前该NFT在Opensea上的最高报价为36.2 WETH,约合65327美元。[2023/5/19 15:12:53]

攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Meta Hollywood与The Sandbox合作将举办好莱坞主题活动和体验:金色财经消息,由Animoca Brands与好莱坞星球集团合作推出的电影爱好者工作室和创作者虚拟社区Meta Hollywood宣布与The Sandbox建立新的合作伙伴关系,作为其在虚拟世界中持续扩张的一部分,Meta Hollywood在The Sandbox中获得了相当大的一块土地,它将在那里以好莱坞背景工作室的形式举办好莱坞主题的活动和体验。(prnewswire)[2022/7/6 1:55:30]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

NirvanaMeta公链生态游戏于4月底使用子币MU进行销毁:据官方消息,NirvanaMeta公链生态游戏《涅槃奇迹》计划于4月底新创建的奇迹游戏账号付费方式采用MU币进行支付并 100%销毁,开始MU币通缩,当MU币通缩至100万枚停止通缩,MU币价格已经突破10 USDT。[2022/3/13 13:53:51]

ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。

而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。

总结

本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:POSIPOSDEPDEPOPOSI价格POSCHEDEPI

TUSD热门资讯
XRP:中心化风险居高不下,2021年黑客攻击损失高达13亿美元-ODAILY_DeFiStarter

转眼间已经陪伴CertiK走入了第五个年头,然而随着阅尽千篇审计报告,却一直有一个问题,让譬如小编这样的技术门外汉倍感疑惑。有的时候,我们辨别一个项目的代码是否优质,就是查看它的审计报告.

1900/1/1 0:00:00
DAO:DAOrayaki:去中心化信用评级如何改变金融体系-ODAILY_BIT

借款和贷款是DeFi的两个重要部分,但它们一直缺少一个有效的操作凭证:去中心化的信用评级。 贷款和借款的概念与时间本身一样古老.

1900/1/1 0:00:00
EUT:Euterpe获香港头部金融交易所生态基金投资-ODAILY_TER

版权NFT交易平台Euterpe今日宣布获得HKICEx(香港国际商品交易所)投资。HKICEx隶属于HKFAEx。香港金融资产交易集团是香港三大交易所之一.

1900/1/1 0:00:00
EOS:UmbNetwork奖励池攻击事件分析-ODAILY_bithumb交易所中文名

一、前言北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析.

1900/1/1 0:00:00
BIT:Bitfinex 一周简报(0418-0424)-ODAILY_FIN

Bitfinex行动使用程序已经上线Bitfinex借用功能4月23日消息,Bitfinex行动管理程序已经上线Bitfinex借用功能.

1900/1/1 0:00:00
GAM:一览GameFi前世今生及项目核心-ODAILY_Earn DeFi Coin

什么是GameFi由于区块链技术的兴起,金融方面从未像现在这样与游戏行业交织在一起。区块链游戏也被称为去中心化游戏,即GameFi——Game+DeFI.

1900/1/1 0:00:00