前言
北京時間2022年2月5日晚,http://Meter.io?跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
分析
基礎信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Play It Forward DAO與P2E角色扮演游戲MetaGods達成合作:3月4日消息,Play It Forward DAO(PIF DAO)宣布與Play-To-Earn角色扮演游戲MetaGods達成合作。
Play It Forward的公會將為MetaGods玩家提供與其他玩家聯系的機會,并更成功地計劃突襲行動。此外,想要嘗試游戲但沒有資源購買最佳裝備的玩家可以租用裝備。此外,Play It Forward將使MetaGods玩家能夠在同一個平臺查看所有P2E數據,包括排名和資產。
據悉,Play It Forward DAO包括一個由菲律賓和印度尼西亞的40000多名玩家和3000名學者組成的公會,所有這些人都通過P2E學者管理計劃進行管理。[2022/3/4 13:38:03]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
MetaCartel實驗性社區代幣CHILI正式推出:旨在協調以太坊生態投資自治組織MetaCartel DAO的實驗性社區代幣CHILI正式推出。目前SushiSwap上已添加新的LP農場rCHILI-MATIC,將來用戶還可以用rCHILI購買NFT。同時CHILI代幣的領取窗口已開放1個月,剩余的代幣將在2021年底轉回DAO資金庫,用戶可在截止前認領獎勵。[2021/8/12 1:50:33]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Razor Network上線ComethSwap,質押LP代幣可獲得MUST代幣獎勵:4月19日消息,去中心化預言機協議Razor Network宣布已上線ComethSwap,用戶可以通過質押RAZOR/WETH的流動性代幣(LPToken),以獲得Cometh Swap的MUST代幣獎勵。[2021/4/19 20:36:47]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的?deposit?函數中,deposit?函數會根據?resourceID?取相應的depositHandler,并調用?deposit?函數進行實際的質押邏輯。
而在?depositHandler?的?deposit?函數中,存在邏輯缺陷,當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定,若為?_wtokenAddress?則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
親愛的PEARCOIN用戶:由于ETH擁堵以及瘋狂增長的GAS費,PEARCOIN平臺對ERC20提幣手續費進行了調整,USDT的ERC20提幣費現調整為25USDT,即刻生效,敬請留意.
1900/1/1 0:00:00尊敬的用戶:?????????BKEXGlobal即將上線ELV,詳情如下:上線交易對:ELV/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年2月15日18.
1900/1/1 0:00:00尊敬的中幣用戶: ????EthereumClassic硬分叉升級已完成,中幣已開放ETC的充值和提幣業務.
1900/1/1 0:00:00TheLockPERC&Earn#1(term14days)willlaunchat8:00UTConFeb14atGate.io''s“HODL&Earn”section.
1900/1/1 0:00:00美聯儲周三公布1月25日至26日的會議紀要。紀要顯示,美聯儲官員在會議上制定了開始加息并削減央行資產負債表上數萬億美元債券的計劃.
1900/1/1 0:00:00尊敬的XT.COM用戶:DOT&KSM錢包升級維護已完成,XT.COM現已恢復DOT&KSM充提業務.
1900/1/1 0:00:00