POSI:Meter.io攻擊事件分析-ODAILY

前言

北京時間2022年2月5日晚，http://Meter.io跨鏈協議遭到攻擊，損失約430萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

tx：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Web3游戲初創公司Project Twelve完成800萬美元融資，MetaApp等參投:6月28日消息，Web3游戲初創公司Project Twelve（P12）宣布完成800萬美元融資，MetaApp、Project Galaxy、Primavera Ventures、CyberConnect、CCV、InfinityLeague、Smrti Lab等參投。

有了新融資，創始團隊將能夠擴展他們在使游戲創作易于訪問和游戲經濟可持續方面的愿景。P12將建立完整的基礎設施和工具，使游戲創作變得容易，并實施一套經濟機制，使游戲經濟可持續發展。（Investing News）[2022/6/28 1:37:05]

攻擊者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

Polygon已聘請前Meta和微軟營銷人員Jennifer Kattula擔任其營銷副總裁:金色財經消息，三家加密貨幣相關公司希望在市場“崩潰”的情況下繼續招聘以增加員工。

Polygon的一位消息人士稱，“已經在各地招聘了至少50名高級人員”，該公司今天還公開宣布了一項值得注意的招聘，招聘前Meta和微軟營銷人員Jennifer Kattula擔任其營銷高級副總裁。

此前消息，Kraken稱目前有500多個空缺職位正在招聘，幣安稱目前有超過2000個職位空缺正在招聘。[2022/6/16 4:30:28]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

消息人士：a16z聯合創始人或會因Web3投資沖突離開Meta董事會:3月25日消息，消息人士稱，由于對Web3投資的利益沖突，a16z聯合創始人Marc Andreessen可能會離開Meta (Facebook) 董事會。該消息人士表示：如果Andreessen在接下來的幾個月內離開Meta，我不會感到驚訝，一位熟悉此事的消息人士表示，Meta已經開始建設或收購多個與元宇宙、NFT、社交、金融、娛樂相關的web3項目，并指出這可能與a16z的“加密帝國”產生利益沖突。據悉，Marc Andreessen自2008年以來一直在Facebook的董事會任職。（Business Insider）[2022/3/25 14:17:32]

ERC20Handler：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的deposit函數中，deposit函數會根據resourceID取相應的depositHandler，并調用deposit函數進行實際的質押邏輯。

而在depositHandler的deposit函數中，存在邏輯缺陷，當tokenAddress不為_wtokenAddress地址時進行ERC20代幣的銷毀或鎖定，若為_wtokenAddress則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址，所以在depositHandler執行deposit邏輯時，已處理過代幣轉移，故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗，在轉由deposiHandler執行deposit時，若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理，實現空手套白狼。

總結

本次攻擊事件核心原因在于http://Meter.io跨鏈橋depositHandler質押處理器中，存在邏輯判斷缺陷，滿足了跨鏈橋合約depositETH的邏輯場景，但忽視了deposit邏輯場景存在繞過缺陷。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DEPPOSIPOSDEPODEPEposi幣行情POSS

芝麻開門交易所