前言
北京時間2022年2月5日晚,http://Meter.io?跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
NBA延長與Meta的合作關系,將籃球比賽帶入元宇宙:1月27日消息,NBA宣布延長其與Meta的現有合作關系,使用 VR(虛擬現實)技術轉播其比賽。這些比賽將使用Xtadium進行轉播,Xtadium是一個元宇宙應用程序,用于使用Meta的消費者頭盔Meta Quest 2轉播沉浸式體育體驗。聯賽將在Meta的旗艦元空間應用Horizon Worlds中呈現52場比賽,供用戶欣賞和觀看。其中五場比賽將以更沉浸的方式呈現,使用180度的單鏡面技術。[2023/1/28 11:32:50]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Archax利用Metaco擴展IBM Cloud上的機構數字資產托管服務:金色財經報道,數字資產交易所Archax選擇METACO來支持和擴展其數字資產的機構托管解決方案,Archax 正在 IBM Cloud 上部署其技術,以利用IBM數字資產基礎架構的機密計算功能。Archax將全面整合METACO的銀行級數字資產托管、發行和編排平臺Harmonize,使客戶能夠安全地存儲、交易、發行和結算加密貨幣和數字證券。Harmonize為Archax在數字資產領域的運營提供最高標準的安全性和合規性。Archax將部署利用IBM Cloud Hyper Protect Services的Harmonize。這種設置將允許Archax擴展到數十億個錢包,同時保持對其私鑰的控制以進行風險管理。[2022/7/7 1:58:44]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Metacartel Ventures合伙人:有消息稱Coinbase或在周五下架XRP:金色財經報道,Metacartel Ventures合伙人Adam Cochran發推文:有消息稱,Coinbase已經和律師討論過XRP的下架問題,似乎有兩個潛在的方案正在形成,其中一個方案將下架時間定在周五。尚不清楚會影響到Coinbase的哪些產品,但很可能是Coinbase和Coinbase Pro。[2020/12/24 16:22:51]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的?deposit?函數中,deposit?函數會根據?resourceID?取相應的depositHandler,并調用?deposit?函數進行實際的質押邏輯。
而在?depositHandler?的?deposit?函數中,存在邏輯缺陷,當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定,若為?_wtokenAddress?則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
數字人民幣持續火熱,交易額近百億據BJ市地方金融監督管理局副局長王穎介紹,數字人民幣試點已經覆蓋冬奧全場景40余萬個,交易金額達到96億元.
1900/1/1 0:00:00尊敬的用戶:Hotcoin現已開通以下資產的現貨槓桿交易,詳情如下:1,USDT交易對:TRX、XRP、BCH、ADA、LINK2,BTC交易對:XRP、BCH、LINK以上全倉都是3倍槓桿.
1900/1/1 0:00:00導語:近期,去中心化自組織DAO和Web3.0的概念大火,各大風投、基金、交易平臺、貨幣平臺等主體紛紛組建新項目,值得關注的是幣圈傳奇人物烤貓回歸后在區塊鏈上發起的KingMao.
1900/1/1 0:00:00尊敬的用戶:EC節點維護完成,Hotcoin現已恢復EC的充值、提現業務。對您造成的不便深表歉意!感謝您對Hotcoin的支持與信任!HotcoinGlobal2022年2月11日Hotcoin.
1900/1/1 0:00:00TheLockARV&Earn#3(term14days)willlaunchat8:00UTConFeb15atGate.io''s“HODL&Earn”section.
1900/1/1 0:00:00親愛的用戶:幣安“ 質押借幣”平臺新增可質押資產ALGO、NEAR。注意:幣安會根據市場實際運行情況和風險程度動態調整可借幣種/質押幣種/利率/最大可借額度等參數.
1900/1/1 0:00:00