Meter.io攻击事件分析_DEPO:POS

前言

北京时间2022年2月5日晚,http://Meter.io?跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础信息

tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

SHIB:The Metaverse团队将很快公布项目新进展:4月5日消息,Shiba Inu元宇宙顾问Marcie Jastrow在Discord向社区保证,SHIB: The Metaverse背后的团队将在未来几周内就其元宇宙项目的进展提供反馈。“在接下来的一周,我们将针对你们提出的所有问题发表一些评论,特别是关于(Shiba Inu虚拟土地)真实地块大小的问题、SXSW艺术节上发生的事情并反馈我们学到的东西。”

她透露,项目团队将很快公布SHIB:The Metaverse的新设计。但是她没有暗示这些设计何时会推出。(The Crypto Basic)[2023/4/5 13:46:01]

攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

“Web3 X to Earn”公司FUTURE STAR完成1.4亿美元融资,Metaverse Tech等参投:金色财经报道,“Web3 X to Earn” 公司 FUTURE STAR宣布完成 1.4 亿美元融资,Metaverse Tech、LNK、SkyG和MW9等参投。该公司现在拥有100多项媒体领域核心专利,而且持有迪拜核心数字货币交易所牌照和美国MSB数字货币交易牌照,他们将利用这笔资金拓展Web3元宇宙广告生态,同时为用户提供更多“X to Earn”选择,让每一位用户成为移动媒体公司并成为可以自获利润的“流量池”,通过贡献“关注”和流量获得基于数字资产的经济激励。(digitaljournal)[2022/10/1 18:36:54]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

慢雾:iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息,慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析,首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的?deposit?函数中,deposit?函数会根据?resourceID?取相应的depositHandler,并调用?deposit?函数进行实际的质押逻辑。

而在?depositHandler?的?deposit?函数中,存在逻辑缺陷,当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定,若为?_wtokenAddress?则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。

总结

本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

聚币ZT創新板即將上線MGG_TOKE:VELO Token

親愛的ZT用戶: ZT創新板即將上線MGG,並開啟MGG/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月11日18:00; MGG 項目簡介:MetaGamingGui.

[0:15ms0-0:661ms