Meter.io 攻擊事件分析

2022-02-10 12:02:44

前言

北京時間2022年2月5日晚,Meter.io 跨鏈協議遭到攻擊,損失約 430 萬美元。知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件並分析。


      Meter.io 攻擊事件分析

分析

基礎信息

tx(Moonriver):0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

ERC20Handler(depositHandler):0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理


      Meter.io 攻擊事件分析

漏洞關鍵在於跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,並調用deposit函數進行實際的質押邏輯


      Meter.io 攻擊事件分析

而在depositHandlerdeposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行 ERC20 代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理


      Meter.io 攻擊事件分析

該存在缺陷的邏輯判斷可能基於在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken後轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。


      Meter.io 攻擊事件分析

但跨鏈橋合約的deposit函數中並沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress == _wtokenAddress即可繞過處理,實現空手套白狼

總結

本次攻擊事件核心原因在於 Meter.io 跨鏈橋 depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。


鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

比特幣跌破9.5萬、以太坊失守3300美元,本週聖誕節市場避險情緒濃厚

比 特幣週六最高從 92,268 美元反彈到 9.95 萬美元之後,又開始一波震盪下跌,撰稿當下最...

Joe
2 2小時前

加密貨幣交易中的心理關口:恐懼與貪婪如何影響市場?

在加密貨幣市場中,交易心態對行為有著深遠的影響,這大大影響著價格波動和交易決策。本文源自 Abdu...

白話區塊鏈
2 2小時前

為慶祝聖誕,Elfbird精靈鳥推出限量版聖誕鳥

在衆多加密貨幣大幅下跌之際,Elfbird 精靈鳥以其優異玩法設計和豐厚收益仍然吸引了許多玩家參與...

星球日報
2 2小時前

Web3.0安全开發實踐:探索比特幣DeFi生態中的PSBT

近年來,部分籤名比特幣交易(PSBT)在比特幣生態系統中獲得了顯著關注。隨着如Ordinal和基於...

CertiK
2 2小時前

24H熱門幣種與要聞 | Michael Saylor發布數字資產框架提案;Azuki疑似即將發幣(12.23)

24 H 熱門幣種 1、CEX 熱門幣種 CEX 成交額 Top 10 及 24 小時漲跌幅: B...

星球日報
2 2小時前

從銘文賽道看AI Agent敘事:有哪些潛在發展演變邏輯和投資機會?

原文作者:Haotian 可能大家都感覺這一輪 AI Agent 敘事推進像極了 23 年以來的銘...

星球日報
2 2小時前