前言
北京時間2022年2月5日晚,Meter.io 跨鏈協議遭到攻擊,損失約 430 萬美元。知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件并分析。
分析
基礎信息
tx(Moonriver):0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
列支敦士登私人銀行VP Bank選擇Metaco協助其開發數字資產托管服務:金色財經報道,列支敦士登私人銀行VP Bank (VPBN)與瑞士數字資產技術提供商Metaco建立了合作伙伴關系,VP Bank已將Metaco用于其Harmonize平臺,該平臺將用于擴展其數字資產托管和代幣化服務。VP Banks系繼花旗銀行、法國興業銀行、DekaBank和DZ Bank之后選擇Metaco協助其開發數字資產服務的第五家銀行。[2023/4/4 13:44:19]
攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
微軟香港在《我的世界》推出Discover2se – Metaverse in Education元宇宙教育計劃:7月23日消息,據微軟官方網站,Microsoft 微軟香港、香港海洋公園及現代教育研究社聯合推出「Discover2se – Metaverse in Education」計劃,運用《我的世界》Minecraft for Education 虛擬空間塑造混合教育和共享學習體驗,據悉首個 Discover2se 混合學習課程將于 2022/23 新學年推行。[2022/7/23 2:33:01]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Coin Metrics聯合創始人:中本聰挖掘的區塊有特定模式,3654區塊不具備:金色財經報道,針對此前有消息稱50枚BTC從疑似中本聰擁有的錢包轉出,Coin Metrics聯合創始人Nic Carter發推文稱,早期非中本聰挖掘的比特幣會周期性地被喚醒,只是不經常發生。請記住,要證明中本聰沒有挖掘這些比特幣基本上是不可能的,但是我們的研究表明,中本聰挖掘了一組特定的區塊,而這個區塊(3654)不是其中之一,這不是Patoshi模式。被相信是中本聰挖掘的那些區塊在nonce中具有特定的模式,但該區塊沒有。Carter表示,關于中本聰的比特幣的爭論實際上比人們通常所知道的要多。按照媒體報道的方式,您會認為有一個巨大的錢包歸屬于中本聰。實際上,地址的不確定性要大得多。[2020/5/21]
ERC20Handler(depositHandler):0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。
而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行 ERC20 代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。
該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。
但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress == _wtokenAddress即可繞過處理,實現空手套白狼。
總結
本次攻擊事件核心原因在于 Meter.io 跨鏈橋 depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
項目方可以控制50%以上的代幣北京時間2022年2月10日,CertiK安全技術團隊發現BabyMuskCoin 價格暴跌99%,1571BNB(等值近67萬美元)被拋出.
1900/1/1 0:00:00Web3的潛力令人興奮,如果傳統互聯網應用都在Web3進行重塑,將會是一波巨大的浪潮。音樂平臺Audius是其中的先行者,試圖通過區塊鏈的設計來重建音樂流媒體的共享方式.
1900/1/1 0:00:00Terra是今年最具影響力的新公鏈之一 ,目前總計TVL達到95億美元,在所有公鏈中排名第五。The Generalist近期采訪了Terra聯合創始人Do Kwon,并對他與Terra的發展歷.
1900/1/1 0:00:00非洲正揭開WEB3序幕。Jambo是一家總部位于剛果的初創公司,通過“學習、游戲、賺錢”獲得基于加密的創收機會來構建非洲的?Web3 門戶,目前已籌集了 750 萬美元的種子資金.
1900/1/1 0:00:00一、NFT市場背景 從 1993 年加密交易卡的出現,到 2021 年 GameFi 的爆發,梳理 NFT 的歷史發展,主要經歷四個階段.
1900/1/1 0:00:00從18年第一次玩Fomo3D到上周為止,可能玩過上百個Ponzi了,有了一點點心得體會,給大伙分享下.
1900/1/1 0:00:00