買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > DOGE > Info

POSI:Meter.io 攻擊事件分析_POS

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年2月5日晚,Meter.io 跨鏈協議遭到攻擊,損失約 430 萬美元。知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件并分析。

分析

基礎信息

tx(Moonriver):0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

MetaSleuth:Atlantis執行合約被替換,近100萬美元資產被盜:6月11日消息,據 MetaSleuth 數據顯示,由于執行一項惡意治理提案,Atlantis 代幣與 Unitroller 的執行合約被替換為新創建的 0x613cc5 合約,導致已經批準給 Atlantis 合約的用戶資產被轉入 0xeade07 地址。除了 0xeade07 地址從 Atlantis 合約中提走的 ATL 代幣外,總共有近 100 萬美元資產流入 0xeade07 地址(其中一些已經轉入 0xd8e918 地址)。MetaSleuth 表示,大量 Atlantis 執行合約在交易中被替換,如果用戶已經批準將資產占入一個似乎是 ABep20Delegator 合約,請撤銷批準。[2023/6/11 21:29:25]

攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Bithumb元宇宙子公司Bithumb Meta計劃于8月份推出NFT交易平臺:7月7日消息,韓國加密貨幣交易所Bithumb元宇宙子公司Bithumb Meta計劃在8月份推出NFT交易平臺NAEMO WORLD。此前,Bithumb已為該交易平臺申請了商標。

此前消息,今年2月份,Bithumb出資170億韓元(約合1370萬美元)成立子公司Bithumb Meta,將專注于開發一個社交元宇宙平臺。[2022/7/7 1:57:40]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

動態 | Soleimani發表最小化治理的去中心化穩定幣方案MetaCoin:Ameen Soleimani發表名為MetaCoin的最小化治理的去中心化穩定幣方案,該方案的完整細節公布在以太坊研究論壇。Soleimani 認為目前 MakerDAO 的系統過于復雜,可能會導致單點故障。MetaCoin 的方案包括了一系列的相關組件,包括:一個名為 META 的治理和獎勵代幣;一個名為 COIN 的穩定幣;使用 ETH 可以鑄造 COIN;囊括了法幣背書的穩定幣的代幣精選清單,比如 USDT、USDC 等;以交易量加權的穩定幣市場平均價格,以 Uniswap 作為價格預言機;當 ETH 價格暴跌則對抵押物執行清算;向穩定幣生成者收取浮動利率以確保錨定 1 美元;自動更新利率的算法控制器。MolochDAO 和 MetaCartel DAO 的成員將會根據之前的 ETH 的捐贈額分配初始 META 的 50%,而另外 50% 將會由一個新成立 SweatDAO 進行分配。Ameen Soleimani 是 SpankChain 首席執行官和 MolochDAO 聯合發起人。[2020/2/10]

ERC20Handler(depositHandler):0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。

而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行 ERC20 代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress == _wtokenAddress即可繞過處理,實現空手套白狼。

總結

本次攻擊事件核心原因在于 Meter.io 跨鏈橋 depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:DEPDEPOPOSIPOSDEPEposi幣行情posi幣的怎么樣

DOGE
HOR:三分鐘了解元宇宙游戲生態DeHorizon_ORI

究竟是什么樣的元宇宙游戲生態,會獲得Griffin頂級游戲資本的青睞,并成為Circle參與的首個元宇宙項目.

1900/1/1 0:00:00
GAS:Jabber:在Web3時代 網絡聊天應該完全上鏈嗎?_Liberty

鏈上除了可以記錄交易,每筆交易更可附上自定義的文本。借助一最簡單又最基礎的功能,人們可以做很多有趣的事情。舉一個最簡單的例子——鏈上聊天。而由于以太坊自身網絡的特性,鏈上交易 gas 費用高昂.

1900/1/1 0:00:00
AMB:讀懂Jambo:全明星機構加持 非洲WEB3超級門戶_WEB

非洲正揭開WEB3序幕。Jambo是一家總部位于剛果的初創公司,通過“學習、游戲、賺錢”獲得基于加密的創收機會來構建非洲的?Web3 門戶,目前已籌集了 750 萬美元的種子資金.

1900/1/1 0:00:00
EBASE:另一種評估Rebase代幣的技術_REBASE

今天,想在Rebase代幣領域分享一些有趣的觀察和想法,包括一些警告,以及評估Rebase代幣價值的另一種方法。我知道你們都在尋找下一個代幣,但加密貨幣在很大程度上是一種零和游戲.

1900/1/1 0:00:00
HAI:以跨鏈漫游、時間分片為地基 Chainge 「自金融」基礎設施服務商的愿景如何實現?_VTChain

撰寫:Frank 此前《三分鐘讀懂 Chainge:讓資金在 DeFi 中自由轉移的應用聚合平臺》一文中,簡單介紹了 Chainge 作為一個 DeFi 應用聚合平臺.

1900/1/1 0:00:00
區塊鏈:解讀 PlatON 2.0 白皮書:如何實現去中心化的通用人工智能網絡?_platon幣未來規劃

人工智能的普適應用面臨著三大問題,一是數據。數據是人工智能最重要的資源,人工智能需要海量的有效數據集以訓練出更好的模型,但在數據隱私和數據監管的前提之下,需要解決數據的使用權和安全使用等問題.

1900/1/1 0:00:00
ads