前言
北京時間2022年2月5日晚,http://Meter.io跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
本周綠地元宇宙指數G-Meta Index跑輸滬深300:金色財經報道,本周綠地元宇宙指數G-Meta Index最高4294.2點,周五收于4242.5點,較上周五下跌1.97%;同期滬深300下跌0.09%、創業板指數下跌0.70%。本周一至周四,綠地元宇宙指數連續下跌到達近期低點,周五受游戲、傳媒、AI概念拉動出現明顯反彈,全周跑輸滬深300,相對收益為-1.88%。[2023/4/30 14:35:24]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Web3游戲公會Meta Masters Guild完成210萬美元私募輪融資:金色財經報道,Web3游戲公會Meta Masters Guild宣布完成210萬美元私募輪融資,根據其白皮書,Meta Masters Guild自稱是全球首個基于移動的Web3游戲公會,主要幫助項目在以太坊區塊鏈上開發基于加密貨幣的手機游戲,目前Meta Masters Guild正在構建游戲項目生態系統,并通過其即將推出的賽車游戲、NFT項目和元宇宙平臺為玩家提供其原生代幣的獎勵。(newsbtc)[2023/2/1 11:40:08]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
美國反壟斷監管機構 FTC 起訴 Meta 以阻止其壟斷元宇宙市場:7月28日消息,美國反壟斷監管機構聯邦貿易委員會 (FTC) 于7月27日對 Meta 提起訴訟,以阻止 Facebook 收購 Unlimited 及其虛擬現實健身應用 Supernatural。FTC 聲稱:Meta 和扎克伯格正計劃擴大 Meta 的虛擬現實帝國,企圖非法收購一款向用戶證明虛擬現實價值的專用健身應用程序。該機構詳細說明了Facebook收購虛擬現實公司的情況,最早可以追溯到2014年收購Oculus。
FTC 表示,Facebook 的母公司正在尋求壟斷整個行業,Meta將更接近其擁有整個元宇宙市場的最終目標。[2022/7/28 2:42:29]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。
而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行ERC20代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于http://Meter.io跨鏈橋depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
從久負盛名的創始人,到極具顛覆性的創新技術,波卡自創世伊始,便自帶“明星”光環,吸引了大批擁躉.
1900/1/1 0:00:00據官方消息,為保護整個區塊鏈行業和加密市場,波場聯合儲備繼續大力度增持儲備金。5月12日,波聯儲官方宣布,已先后買入1000枚BTC、1,467,612,695枚TRX及100,000,000枚.
1900/1/1 0:00:00北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin.
1900/1/1 0:00:00如今,一張“無聊猿”BoredApeYachtClub的NFT售價已與二線城市里的一套房相差無幾.
1900/1/1 0:00:00波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察。本文旨在提供信息和觀點,不為任何項目作背書.
1900/1/1 0:00:00前言 北京時間4月28日,Fantom平臺DEUS協議又一次遭到攻擊,損失約1340萬美元,知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析.
1900/1/1 0:00:00