POS:Meter.io攻击事件分析

前言

北京时间2022年2月5日晚，http://Meter.io?跨链协议遭到攻击，损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Trait Sniper：将推出Trait Sniper Pass、Twitter ScanPass质押和Metapet销毁功能:金色财经报道，NFT稀有度排名工具Trait Sniper发推称，为了解决部分用户在8月1日领取代币时遇到的困难，我们决定延长原DEX交易时间。新交易时间为8月5日19:00（UTC+7）。此扩展旨在为尚未领取代币的用户提供领取代币的机会。

此外TS代币持有者已超过11万。今天19:00(UTC+7)将推出Trait Sniper Pass&Twitter Scan Pass质押和Metapet销毁功能。[2023/8/3 16:16:01]

攻击者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

The Weeknd和Binance推出Metaverse Dimension虚拟空间:金色财经报道，Binance和流行艺术家The Weeknd推出“Metaverse Dimension”的特别创建的在线空间，以扩大双方正在进行的合作伙伴关系。这款基于网络游戏的用户可以参加旨在解锁专属区域、内容和奖励的寻宝挑战。这是一种简单的3D体验，玩家可以在其中探索装饰有The Weeknd和Binance图像的光鲜世界。

Binance表示，解决集成在数字体验中的难题的用户有可能赢得未来Weeknd音乐会的门票以及独家商品。该交易所还将在The Weeknd当前的世界巡演期间提供增强现实(AR)体验。[2023/6/17 21:43:15]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

NirvanaMeta（宇宙重生）即将销毁90亿:据官方消息，MNU总量为100亿枚，即将销毁90亿。且白皮书发行总量更正为10亿枚MNU。同时分配机制更新为：机构投资6.84亿；技术团队1600万枚；游戏生态产为3亿枚。

红蓝消耗，创建NFT，游戏内消耗品、道具、装备交易，其他生态消耗，都作为销毁通缩，直到流通总量剩余1亿枚将会停止销毁通缩，开始生态循环。

由于MNU公链销毁90亿，游戏产量总计3亿，所有分区产量随之调低来分区低保收入30MNU。[2022/1/13 8:46:34]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的?deposit?函数中，deposit?函数会根据?resourceID?取相应的depositHandler，并调用?deposit?函数进行实际的质押逻辑。

而在?depositHandler?的?deposit?函数中，存在逻辑缺陷，当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定，若为?_wtokenAddress?则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址，所以在depositHandler执行deposit逻辑时，已处理过代币转移，故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验，在转由deposiHandler执行deposit时，若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理，实现空手套白狼。

总结

本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中，存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：DEPDEPOPOSIPOSDEPAYposi币最新消息CPOS价格

酷币交易所热门资讯