Meter.io攻击事件分析_DEPO:POS

前言

北京时间2022年2月5日晚，http://Meter.io?跨链协议遭到攻击，损失约430万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

SHIB：The Metaverse团队将很快公布项目新进展:4月5日消息，Shiba Inu元宇宙顾问Marcie Jastrow在Discord向社区保证，SHIB: The Metaverse背后的团队将在未来几周内就其元宇宙项目的进展提供反馈。“在接下来的一周，我们将针对你们提出的所有问题发表一些评论，特别是关于（Shiba Inu虚拟土地）真实地块大小的问题、SXSW艺术节上发生的事情并反馈我们学到的东西。”

她透露，项目团队将很快公布SHIB：The Metaverse的新设计。但是她没有暗示这些设计何时会推出。（The Crypto Basic）[2023/4/5 13:46:01]

攻击者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

“Web3 X to Earn”公司FUTURE STAR完成1.4亿美元融资，Metaverse Tech等参投:金色财经报道，“Web3 X to Earn” 公司 FUTURE STAR宣布完成 1.4 亿美元融资，Metaverse Tech、LNK、SkyG和MW9等参投。该公司现在拥有100多项媒体领域核心专利，而且持有迪拜核心数字货币交易所牌照和美国MSB数字货币交易牌照，他们将利用这笔资金拓展Web3元宇宙广告生态，同时为用户提供更多“X to Earn”选择，让每一位用户成为移动媒体公司并成为可以自获利润的“流量池”，通过贡献“关注”和流量获得基于数字资产的经济激励。（digitaljournal）[2022/10/1 18:36:54]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

慢雾：iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息，慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析，首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的?deposit?函数中，deposit?函数会根据?resourceID?取相应的depositHandler，并调用?deposit?函数进行实际的质押逻辑。

而在?depositHandler?的?deposit?函数中，存在逻辑缺陷，当?tokenAddress?不为?_wtokenAddress?地址时进行ERC20代币的销毁或锁定，若为?_wtokenAddress?则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址，所以在depositHandler执行deposit逻辑时，已处理过代币转移，故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验，在转由deposiHandler执行deposit时，若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理，实现空手套白狼。

总结

本次攻击事件核心原因在于?http://Meter.io?跨链桥?depositHandler质押处理器中，存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。