POS:Meter.io攻击事件分析

前言

北京时间2022年2月5日晚，http://Meter.io?跨链协议遭到攻击，损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

美股上市公司Direct Equity International宣布更名为“Metaverse Inc.”:金色财经报道，美股上市公司Direct Equity International, Inc.宣布正式将公司名称更改为“Metaverse Inc.”，旨在进一步加强其人工智能、社交媒体、Web3和增强现实产品新战略，据悉该公司正在开发一种与AI聊天机器人进行交互的软件， 还在开发结合区块链、加密货币和NFT的Web3产品，以构建潜在新收入流和独立于传统广告和数据收集方法的商业模式。（globenewswire）[2023/2/23 12:25:32]

攻击者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

CoinMetrics：以太坊网络上的WBTC数量趋于停滞状态:金色财经报道，根据加密金融情报提供商CoinMetrics本周发布的一份报告，尽管包装版比特币（WBTC）在2021年大受欢迎，但其供应增长自2021年12月以来一直停滞不前。从2021年1月到12月，以太坊网络流通中的WBTC数量增加了一倍多，但此后一直保持在大约26万枚左右。目前，在近1900万枚比特币流通量中，约有1.4%通过WBTC在以太坊上流通，其中66%被锁定在智能合约中，这表明交易员正在去中心化交易所和借贷协议上使用该资产。

WBTC流入量的停滞与最近加密市场的低迷相对应，DefiLlama数据显示，DeFi协议中的总锁仓价值已从12月27日的超过2510亿美元回落至2000亿美元以下。

注：WBTC是由比特币(BTC)1:1支持的ERC-20以太坊代币。（decrypt）[2022/2/25 10:15:51]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

Blockworks：Meta 2022年将向元宇宙投资100亿美元:1月14日消息，Blockworks发推称，Meta（Facebook母公司）正在招聘1万人来推进元宇宙业务，并将在2022年投资100亿美元。[2022/1/14 8:49:41]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的?deposit?函数中，deposit?函数会根据?resourceID?取相应的depositHandler，并调用?deposit?函数进行实际的质押逻辑。

而在?depositHandler?的?deposit?函数中，存在逻辑缺陷，当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定，若为?_wtokenAddress?则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址，所以在depositHandler执行deposit逻辑时，已处理过代币转移，故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验，在转由deposiHandler执行deposit时，若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理，实现空手套白狼。

总结

本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中，存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：POSDEPDEPOPOSITPOSonekey和depay对比posi币是哪国的项目

FIL热门资讯