POS:Meter.io攻击事件分析_POSI价格

前言

北京时间2022年2月5日晚，http://Meter.io?跨链协议遭到攻击，损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Web3投资机构Cipholio Ventures对Meta Era进行战略投资:据官方消息，Web3投资机构Cipholio Ventures宣布将对Web3内容生态聚合器Meta Era进行战略投资，并共同致力于线上及线下Web3科普推广。这次投资是Cipholio Ventures和Meta Era在香港新政策出台后加大投资力度的重要举措。双方将充分发挥各自优势，在区块链技术应用、Web3理念传播等方面展开深入合作。

据悉，Cipholio Ventures是一家以研究为导向的投资公司，专门研究有可能重塑万亿美元市场的加密货币、代币和区块链项目。Meta Era 是立足于香港的Web3.0资源聚合器，已与数百家投资机构，web3企业及业内媒体、社区建立了合作。[2023/6/1 11:53:01]

攻击者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Meta元宇宙社交平台Horizon Worlds增加成人内容分区:金色财经报道，社交媒体巨头Meta表示，旗下元宇宙社交平台Horizon Worlds在“对每个人都安全和受欢迎的环境”方面存在问题，目前正在进一步加强对Horizon Worlds内容类型的管理分级。对于用户在所述元宇宙平台创建的体验，这家公司现提供了一个“18岁以上”标签，即非18岁以上用户不允许访问。Horizon Worlds还更新了相关的条款页面，创作者必须手动标记体验对访客而言是否足够成熟或安全，否则默认情况会把群体限制在18岁及以上。（The Verge）[2022/7/23 2:32:59]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

Coin Metrics联合创始人：闪电网络可增加矿工收入:今日，Coin Metrics联合创始人Nic Carter发推文表示：“我认为LN（闪电网络）可以增加矿工收入。它开启了新的交易模式，从而增加了整个可寻址的区块空间市场。”[2021/3/15 18:44:34]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的?deposit?函数中，deposit?函数会根据?resourceID?取相应的depositHandler，并调用?deposit?函数进行实际的质押逻辑。

而在?depositHandler?的?deposit?函数中，存在逻辑缺陷，当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定，若为?_wtokenAddress?则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址，所以在depositHandler执行deposit逻辑时，已处理过代币转移，故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验，在转由deposiHandler执行deposit时，若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理，实现空手套白狼。

总结

本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中，存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：POSPOSIDEPODEPPOSSPOSI价格DEPI价格

FTT热门资讯