前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Nansen CEO:PleasrDAO账户被黑客入侵:7月19日消息,Nansen CEO Alex Svanevik发推称,PleasrDAO的账户已被黑客入侵,提醒用户不要与其互动。PleasrDAO官方账户发布了虚假代币PLEASR的相关消息。[2023/7/19 11:04:08]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
比特币NFT市场Ordinals Market和Magic Eden已将Bitcoin Apes下架:金色财经报道,据Shilling Pixels在社交媒体上发文表示,“比特币NFT市场Ordinals Market不得不下架Bitcoin Apes,原因是Yuga Labs的法律团队采取了行动。”
此前4月12日消息,Magic Eden比特币NFT市场下架了Bitcoin Apes。
Bitcoin Apes与Yuga Labs在以太坊上的NFT项目BAYC图像一致,但不属于Yuga Labs。[2023/4/19 14:13:19]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
特斯拉董事会成员Kimbal Musk:大多数DAO实际上并未去中心化:金色财经消息,在Consensus2022大会上特斯拉董事会成员Kimbal Musk表示,大多数DAO实际上并没有去中心化。
Kimbal Musk称,“DAO的名字代表去中心化,去中心化的程度达到多少才能算去中心化呢?我认为最重要的是建立防止个人权力积累的系统。坦率地说,我认为大多数DAO旨在让创始人保持控制权。”
据悉,Kimbal Musk是Elon Musk的兄弟,并创建有DAO组织Big Green DAO。[2022/6/11 4:18:05]
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。