Meter.io攻擊事件分析-ODAILY_POS

前言

北京時間2022年2月5日晚，http://Meter.io跨鏈協議遭到攻擊，損失約430萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

本周綠地元宇宙指數G-Meta Index跑輸滬深300:金色財經報道，本周綠地元宇宙指數G-Meta Index最高4294.2點，周五收于4242.5點，較上周五下跌1.97%；同期滬深300下跌0.09%、創業板指數下跌0.70%。本周一至周四，綠地元宇宙指數連續下跌到達近期低點，周五受游戲、傳媒、AI概念拉動出現明顯反彈，全周跑輸滬深300，相對收益為-1.88%。[2023/4/30 14:35:24]

攻擊者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Web3游戲公會Meta Masters Guild完成210萬美元私募輪融資:金色財經報道，Web3游戲公會Meta Masters Guild宣布完成210萬美元私募輪融資，根據其白皮書，Meta Masters Guild自稱是全球首個基于移動的Web3游戲公會，主要幫助項目在以太坊區塊鏈上開發基于加密貨幣的手機游戲，目前Meta Masters Guild正在構建游戲項目生態系統，并通過其即將推出的賽車游戲、NFT項目和元宇宙平臺為玩家提供其原生代幣的獎勵。（newsbtc）[2023/2/1 11:40:08]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

美國反壟斷監管機構 FTC 起訴 Meta 以阻止其壟斷元宇宙市場:7月28日消息，美國反壟斷監管機構聯邦貿易委員會 (FTC) 于7月27日對 Meta 提起訴訟，以阻止 Facebook 收購 Unlimited 及其虛擬現實健身應用 Supernatural。FTC 聲稱：Meta 和扎克伯格正計劃擴大 Meta 的虛擬現實帝國，企圖非法收購一款向用戶證明虛擬現實價值的專用健身應用程序。該機構詳細說明了Facebook收購虛擬現實公司的情況，最早可以追溯到2014年收購Oculus。

FTC 表示，Facebook 的母公司正在尋求壟斷整個行業，Meta將更接近其擁有整個元宇宙市場的最終目標。[2022/7/28 2:42:29]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的deposit函數中，deposit函數會根據resourceID取相應的depositHandler，并調用deposit函數進行實際的質押邏輯。

而在depositHandler的deposit函數中，存在邏輯缺陷，當tokenAddress不為_wtokenAddress地址時進行ERC20代幣的銷毀或鎖定，若為_wtokenAddress則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址，所以在depositHandler執行deposit邏輯時，已處理過代幣轉移，故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗，在轉由deposiHandler執行deposit時，若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理，實現空手套白狼。

總結

本次攻擊事件核心原因在于http://Meter.io跨鏈橋depositHandler質押處理器中，存在邏輯判斷缺陷，滿足了跨鏈橋合約depositETH的邏輯場景，但忽視了deposit邏輯場景存在繞過缺陷。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：POSPOSIDEPDEPOpos幣是什么意思posi幣行情DEP價

比特幣