前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
区块链协会要求调查加密公司Prometheum:金色财经报道,美国加密货币行业的游说团体区块链协会致信美国SEC监察长办公室,要求对加密公司Prometheum进行调查。在7月12日的一封信中,区块链协会要求SEC监察长Deborah Jeffrey调查金融业监管局(Financial Industry Regulatory Authority)批准Prometheum的特殊目的经纪交易商许可证(SPBD)。该组织还对该公司联席CEO Aaron Kaplan 6月在美国众议院金融服务委员会作证时获得席位的方式提出质疑。
该组织表示,鉴于适用于加密公司的美国证券法的不确定性,Prometheum能够在2023年5月获得SPBD许可证这一事实“令人担忧”。根据区块链协会的说法,Prometheum在2021年4月改变了其呼吁SEC明确监管的公开立场,声称“存在明确的数字资产注册途径,立法是不必要的”。[2023/7/13 10:51:25]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
智度股份:“Meta彼岸”会不定期在数字藏品商城发售艺术家们的数字藏品:金色财经消息,智度股份在投资者平台表示,公司“Meta彼岸”致力打造国内顶级的元宇宙艺术社区,社区以VR终端为主要入口,实现线上与线下虚实场景融合,打造不同主题、不同风格艺术家作品的虚拟展览,面向用户提供沉浸式互动的艺术和社交体验、基于区块链技术发行数字藏品服务。(同花顺)[2022/7/5 1:50:49]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
哔哩哔哩海外版APP现支持连接MetaMask钱包,官方合作NFT项目可设为头像使用:5月19日消息,据bilibili海外版APP客户端页面显示,bilibili海外版APP已推出NFT入口,支持连接MetaMask钱包查看官方合作NFT项目Cheers UP。该系列NFT可设为头像使用,并有外显的头像认证标识。
此前消息,哔哩哔哩bilibili于4月下旬宣布为海外用户授权发布Cheers UP NFT,该系列包含在以太坊上发布的10,000枚PFP类型NFT。近日该项目投票通过提案,将销毁总量一半的NFT,并保留241枚归入金库用于项目和社区建设。[2022/5/19 3:27:57]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。