POSI:Meter.io 攻击事件分析_POS价

前言

北京时间2022年2月5日晚，Meter.io 跨链协议遭到攻击，损失约 430 万美元。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

分析

基础信息

tx（Moonriver）：0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Meta正探索去中心化社交网络应用程序:金色财经报道，Meta Platforms Inc发言人周五表示，公司正在探索一个独立的去中心化社交网络，用于共享文本更新，这可能是马斯克的Twitter的直接竞争对手。Meta发言人表示，“我们正在探索一个独立的去中心化社交网络来分享文本更新。我们相信有机会创造一个独立的空间，让创作者和公众人物可以及时分享他们的兴趣。”

当天早些时候，印度商业新闻网站Moneycontrol.com首先援引消息人士的话报道了这一消息。该报道称，Meta的新内容应用程序将支持ActivityPub，这是一种去中心化的社交网络协议，为Twitter的竞争对手Mastodon和其他联合应用程序提供支持。Meta的新应用程序将采用Instagram品牌，并允许用户通过Instagram账号注册或登录。（路透社）[2023/3/10 12:53:57]

攻击者：0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

NFT借贷协议MetaLend完成500万美元融资，Pantera Capital领投:4月21日消息，NFT借贷协议MetaLend宣布完成500万美元融资，本轮融资由Pantera Capital领投，Collab+Currency、Ancient8等参投。本轮融资资金将用于产品研发、扩充团队和营销活动。

MetaLend是一个NFT借贷协议，目前处于测试阶段，计划在第二季度正式上线，协议前期以借贷AxieInfinity相关NFT资产为主，计划在未来两到三个月内与第二款基于Polygon的游戏集成。（coindesk）[2022/4/21 14:39:35]

Bridge：0xFd55eBc7bBde603A048648C6eAb8775c997C1001

动态 | Metaps子公司开设新的安全加密货币交易所UpXide:据cryptoninjas.net消息，韩国Metaps Plus（移动金融科技和区块链公司）的子公司今天宣布，正式开通新的安全加密货币交易所UpXide。UpXide正准备ISO27001认证、AML（反）系统、冷钱包中的用户资产维护、内部网络分离、内部控制DRM解决方案以及黑客源阻止（服务器/应用安全解决方案）的动态安全性。[2018/10/30]

ERC20Handler（depositHandler）：0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞关键在于跨链桥合约的deposit函数中，deposit函数会根据resourceID取相应的depositHandler，并调用deposit函数进行实际的质押逻辑。

而在depositHandler的deposit函数中，存在逻辑缺陷，当tokenAddress不为_wtokenAddress地址时进行 ERC20 代币的销毁或锁定，若为_wtokenAddress则直接跳过该部分处理。

该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址，所以在depositHandler执行deposit逻辑时，已处理过代币转移，故跳过代币处理逻辑。

但跨链桥合约的deposit函数中并没有处理代币转移及校验，在转由deposiHandler执行deposit时，若data数据构造成满足tokenAddress == _wtokenAddress即可绕过处理，实现空手套白狼。

总结

本次攻击事件核心原因在于 Meter.io 跨链桥 depositHandler质押处理器中，存在逻辑判断缺陷，满足了跨链桥合约depositETH的逻辑场景，但忽视了deposit逻辑场景存在绕过缺陷。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：POSIDEPPOSDEPOposi币最新消息DEPI币POS价

莱特币价格热门资讯