前言
北京时间2022年2月5日晚,http://Meter.io?跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
美股上市公司Direct Equity International宣布更名为“Metaverse Inc.”:金色财经报道,美股上市公司Direct Equity International, Inc.宣布正式将公司名称更改为“Metaverse Inc.”,旨在进一步加强其人工智能、社交媒体、Web3和增强现实产品新战略,据悉该公司正在开发一种与AI聊天机器人进行交互的软件, 还在开发结合区块链、加密货币和NFT的Web3产品,以构建潜在新收入流和独立于传统广告和数据收集方法的商业模式。(globenewswire)[2023/2/23 12:25:32]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
CoinMetrics:以太坊网络上的WBTC数量趋于停滞状态:金色财经报道,根据加密金融情报提供商CoinMetrics本周发布的一份报告,尽管包装版比特币(WBTC)在2021年大受欢迎,但其供应增长自2021年12月以来一直停滞不前。从2021年1月到12月,以太坊网络流通中的WBTC数量增加了一倍多,但此后一直保持在大约26万枚左右。目前,在近1900万枚比特币流通量中,约有1.4%通过WBTC在以太坊上流通,其中66%被锁定在智能合约中,这表明交易员正在去中心化交易所和借贷协议上使用该资产。
WBTC流入量的停滞与最近加密市场的低迷相对应,DefiLlama数据显示,DeFi协议中的总锁仓价值已从12月27日的超过2510亿美元回落至2000亿美元以下。
注:WBTC是由比特币(BTC)1:1支持的ERC-20以太坊代币。(decrypt)[2022/2/25 10:15:51]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Blockworks:Meta 2022年将向元宇宙投资100亿美元:1月14日消息,Blockworks发推称,Meta(Facebook母公司)正在招聘1万人来推进元宇宙业务,并将在2022年投资100亿美元。[2022/1/14 8:49:41]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞关键在于跨链桥合约的?deposit?函数中,deposit?函数会根据?resourceID?取相应的depositHandler,并调用?deposit?函数进行实际的质押逻辑。
而在?depositHandler?的?deposit?函数中,存在逻辑缺陷,当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定,若为?_wtokenAddress?则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
親愛的ZT用戶:ZT創新板即將上線UPI,並開啟UPI/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年2月14日18:00;UPI項目簡介:Pawtocol是一個由寵物愛好者組.
1900/1/1 0:00:00欧易研究院高级分析师赵伟2022年2月的第一周并不平静。2月4日,欧洲央行行长拉加德不再排除今年加息的可能性,向全球央行的政策紧缩立场靠拢。官员们私下预期最早可能下月就会调整政策指引.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM將支持Harmony網絡升級及硬分叉,具體安排如下:XT.COM現已暫停ONE代幣的充值、提現業務,以支持Harmony將於Harmony區塊高度22.
1900/1/1 0:00:00Gate.io已正式上線ALPH/USDT新版流動性礦池,並於11:00就ALPH/USDT交易礦池新增額外25,000ALPH.
1900/1/1 0:00:00原文来源:D-TigerResaerchInstitute创始人,因泄密美国政府丑闻而被通缉,曾在厄瓜多尔庇佑下躲避了7年,后辗转被关押至英国,而在去年12月.
1900/1/1 0:00:00金色财经报道,2月15日消息,美国证券交易委员会副总经济师、经济和风险分析部(DERA)代理主任ScottBauguess宣布已加入加密货币交易所Coinbase担任全球监管政策副总裁.
1900/1/1 0:00:00