Meter.io攻擊事件分析_DEPO

前言

北京時間2022年2月5日晚，http://Meter.io?跨鏈協議遭到攻擊，損失約430萬美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Meten Holding Group簽訂非公開發行普通股股份認購協議:金色財經報道，加密礦業公司Meten Holding Group宣布已與兩家外國投資者(包括機構投資者Future Satoshi Ltd和個人投資者)簽訂認購協議，發行和出售400萬股公司普通股，票面價值為每股0.003美元(“普通股”)，總收益為1,000,000美元，即每股0.25美元。

公司預計認購協議擬定的交易將于2023年8月16日左右完成。該公司計劃利用所得款項購買額外的礦機，預計這將進一步提高該公司加密貨幣礦機的總算力。[2023/8/7 21:29:49]

攻擊者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

捷成股份：參股子公司準備推出“Meta Avatar Show”:金色財經報道，捷成股份（300182.SZ）在投資者互動平臺表示，公司參股子公司世優科技準備推出“Meta Avatar Show”元宇宙分身秀平臺，應用內除了可以為每個用戶、企業、明星、名人、IP等定制打造元宇宙分身外，還為這些分身提供大規模、低成本鏈接分身并驅控的軟硬件系統，并通過Show空間、MetaStage舞臺等進行元宇宙內的社交、娛樂、生活、購物、學習等場景。平臺除了可以給現有短視頻/直播媒體平臺輸出常規音視頻內容外，還提供VR/AR全景沉浸式體驗。該平臺目前處于測試階段，尚未正式推出。（每日經濟新聞）[2022/2/7 9:34:38]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

FoxDAO將向MetaMask發放FOX Token空投:1月7日，去中心化自治組織FoxDAO向所有MetaMask用戶發放FOX空投，凡是在以太坊，BSC和Matic網絡中使用過MetamaskSwap功能的用戶均可以依據交易次數權重領取該Token。用戶需在2022年4月1日前領取，之后未領取Token將會被永久鎖定。

合約未披露審計情況或存在風險，用戶謹慎操作注意資產安全。[2022/1/7 8:32:34]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的?deposit?函數中，deposit?函數會根據?resourceID?取相應的depositHandler，并調用?deposit?函數進行實際的質押邏輯。

而在?depositHandler?的?deposit?函數中，存在邏輯缺陷，當?tokenAddress?不為?_wtokenAddress?地址時進行ERC20代幣的銷毀或鎖定，若為?_wtokenAddress?則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址，所以在depositHandler執行deposit邏輯時，已處理過代幣轉移，故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗，在轉由deposiHandler執行deposit時，若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理，實現空手套白狼。

總結

本次攻擊事件核心原因在于?http://Meter.io?跨鏈橋?depositHandler質押處理器中，存在邏輯判斷缺陷，滿足了跨鏈橋合約depositETH的邏輯場景，但忽視了deposit邏輯場景存在繞過缺陷。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DEPOPOSIDEPPOSposi幣是哪國的項目TradePlusPoseidon Network

PEPE幣