買比特幣 買比特幣
Ctrl+D 買比特幣
ads

POSI:Meter.io攻擊事件分析-ODAILY_DEP

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年2月5日晚,http://Meter.io跨鏈協議遭到攻擊,損失約430萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591

Meta元宇宙平臺Horizo??n Worlds將在西班牙和法國上線:金色財經報道,Meta已將其旗艦元宇宙應用Horizo??n Worlds的服務擴張到西班牙和法國。在這兩個國家推出這項計劃是尋求在2023年之前在更多歐洲國家推出Horizo??n Worlds。該應用自2020年以來一直作為僅限受邀者的封閉測試版提供給用戶,去年12月向美國和加拿大開放了服務,并在此推出后于今年向英國、愛爾蘭和冰島的客戶開放其平臺。

Horizo??n Worlds是一個VR世界,在這個世界里,他們有一個可配置的替身,并可以漫游由其他玩家創造的世界和由公司開發的體驗。(Bitcoin.com)[2022/8/18 12:34:23]

攻擊者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01

科技大佬批Meta首款元宇宙產品:\"壓根不現實\"的\"過時想法\":2月7日消息,科技行業知名創始人菲爾?利賓(Phil Libin)在試用了Facebook母公司Meta的第一款元宇宙產品Horizon Workrooms后表示,Meta有關元宇宙的愿景是個“壓根不現實”的“過時想法”。利賓說,事實證明他的直覺是正確的。“只能忍受幾分鐘時間。” 他認為,在會議中引入虛擬現實技術并不像Zoom等人們所熟悉的技術那樣具有吸引力。畢竟用戶在使用Zoom時仍然可以喝咖啡。利賓說:“如果我的臉上有個巨大的塑料制品,我肯定會把熱咖啡灑得到處都是。”(小K注:利賓曾是Evernote公司的聯合創始人兼首席執行官,2015年離職進入風險投資行業,Horizon Workrooms旨在讓用戶可以在所謂的元宇宙中使用Oculus VR設備參加線上工作會議)。(科創板日報)[2022/2/7 9:35:18]

Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001

動態 | Metaps子公司開設新的安全加密貨幣交易所UpXide:據cryptoninjas.net消息,韓國Metaps Plus(移動金融科技和區塊鏈公司)的子公司今天宣布,正式開通新的安全加密貨幣交易所UpXide。UpXide正準備ISO27001認證、AML(反洗錢)系統、冷錢包中的用戶資產維護、內部網絡分離、內部控制DRM解決方案以及黑客源阻止(服務器/應用安全解決方案)的動態安全性。[2018/10/30]

ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51

漏洞原理

漏洞關鍵在于跨鏈橋合約的deposit函數中,deposit函數會根據resourceID取相應的depositHandler,并調用deposit函數進行實際的質押邏輯。

而在depositHandler的deposit函數中,存在邏輯缺陷,當tokenAddress不為_wtokenAddress地址時進行ERC20代幣的銷毀或鎖定,若為_wtokenAddress則直接跳過該部分處理。

該存在缺陷的邏輯判斷可能基于在跨鏈橋合約中的depositETH函數會將鏈平臺幣轉為wToken后轉至depositHandler地址,所以在depositHandler執行deposit邏輯時,已處理過代幣轉移,故跳過代幣處理邏輯。

但跨鏈橋合約的deposit函數中并沒有處理代幣轉移及校驗,在轉由deposiHandler執行deposit時,若data數據構造成滿足tokenAddress==_wtokenAddress即可繞過處理,實現空手套白狼。

總結

本次攻擊事件核心原因在于http://Meter.io跨鏈橋depositHandler質押處理器中,存在邏輯判斷缺陷,滿足了跨鏈橋合約depositETH的邏輯場景,但忽視了deposit邏輯場景存在繞過缺陷。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:POSPOSIDEPODEPposeidumposi幣的怎么樣dep幣前景

以太坊交易
COIN:二月安全事件總結與回顧-ODAILY_COI

前言 新春二月,知道創宇區塊鏈安全實驗室拓寬了對區塊鏈安全信息收集總結的信息廣度,將專注于典型安全事件的視角,拔升到了對整個區塊鏈安全資訊的審視.

1900/1/1 0:00:00
QUO:How to NFT 4:音樂-ODAILY_HOW

世界各地的音樂家也開始擁抱這一創新媒介形式,為音樂產業注入新的活力。從未發行的曲目到獨家完整的專輯,藝術家們現在可以直接以NFT的形式發布他們的歌曲,并直接從他們的粉絲那里獲得收入,沒有任何中間.

1900/1/1 0:00:00
AME:GameFi浪潮一往無前,頂峰AscendEX借勢破浪前行-ODAILY_Bitbook Gambling

GameFi目前是加密行業最受關注的賽道之一,Newszoo資料顯示,2021年加密圈整個游戲行業貢獻了1803億美元的收益,較2020年同比增長近1.4%.

1900/1/1 0:00:00
RON:TRX連續二十七周通縮,通縮量達3.82億枚-ODAILY_TRO

TRONSCAN最新數據顯示,過去二十七周,TRX持續處于通縮狀態,通縮量達3.82億枚TRX.

1900/1/1 0:00:00
TOM:Footprint Analytics:一篇關于Fantom的筆記-ODAILY_FANT

DataSource:FootprintAnalyticsFantomDashboard不要慫就是梭!筆者已無法將這句話再奉為金科玉律了。BTC從高位六萬八跌到三萬四,可謂是腰斬.

1900/1/1 0:00:00
Chain:除了提供數據和API服務之外,企業還能如何在智能合約經濟中變現?-ODAILY_INK

區塊鏈技術的核心價值主張正在從cryptocurrency轉向智能合約,這與當年互聯網從電子郵件發展至萬維網的路徑如出一轍。智能合約效率更高且對手方風險更小,因此勢必將成為主流的數字協議.

1900/1/1 0:00:00
ads