前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Meta:政策制定者必须为Web3技术制定公平的规则:金色财经报道,Meta Platforms(META)在周五发布的一份“讨论文件”中表示,“政策制定者必须为Web3技术制定公平的规则,以确保人们的安全并促进创新”,Meta强调了为此付出的集体努力,并引用了它帮助其他科技公司启动的不断发展的元宇宙(Metaverse)标准论坛。
讨论文件概述了元宇宙的三个优先事项,预见用户在虚拟现实世界中互动的互联网演变。文件表示,最终的元宇宙规则应该采取技术中立的立场,承认Web3的潜在经济利益,并坚持政府和行业共同构建它,这种合作将包括中央银行数字货币(CBDC)在元宇宙经济中的潜在作用。[2022/12/3 21:19:27]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
ULTRADX(奥创)与 MastersDAO、MoreMeta 元宇宙平台达成深度战略合作:据官方消息,ULTRADX(奥创)与 MastersDAO、MoreMeta 元宇宙平台达成深度战略伙伴合作关系。
据官方介绍,ULTRADX(奥创)是采用美国CME的全品类全仓保证金系统与OCC的实时清结算系统的加密货币交易平台。
MoreMeta是以沉浸式空间承载内容价值、社交价值的多元交互的综合元宇宙项?。现与多家艺术院校及文化机构达成数字艺术方向的产学研合作,且为多地实现文旅、文博的数字化解决方案,为生态链上下游提供创作与价值革新。
MastersDAO是通过全球各领域的爱好者与艺术家所组成的去中心化自治组织,涉及领域涵盖了美术、古董、字画、音乐、影视等方面。[2022/6/27 1:33:46]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
元宇宙数字房产平台WeMeta完成110万美元融资,DCG等参投:11月4日消息,元宇宙数字房产平台WeMeta完成110万美元首轮融资,Delphi Digital、DeFi Alliance、DCG、Galaxy Interactive、Hashed、SkyVision Capital 和 Tribe Capital 参投,其他天使投资者包括 Andy Chorlian(Fractional)、Darren Lau(The Daily Ape)、John Fiorelli(Kenetic)和 Navi Singh(Antler)。
本轮募集资金将用于建设多链市场和聚合器,支持更多游戏,加快工具的开发以及投资于社区。WeMeta 是一个元宇宙数字房产平台,未来将支持多个元宇宙游戏土地查询,并向用户提供与这些元宇宙土地相关的指标、数据以及帮助以帮助用户在元宇宙中购买、出售和构建土地等。[2021/11/4 21:24:54]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
根据区块链浏览器TRONSCAN数据,过去一周,波场版稳定币日均转账额为8,208,774,620美元,突破82亿美元.
TetherCTO:TetherGold一直受到较大型投资者的支持4月21日消息,Tether首席技术官PaoloArdoino表示,TetherGold一直受到较大型投资者的支持.
在圈里待久了的人都知道,像区块链行业发展日新月异那样,全球主流数字货币排行榜可谓「常看常新」。去年的前十名和今年的前十名可能多半都不一样,个别热潮兴起的时候,甚至月与月之间的排名,都能“换血”多.
萨尔瓦多总统:比特币火山债券将通过Bitfinex发行据路透社报道,萨尔瓦多正在寻求加密货币交易平台Binance的支持,以完善比特币作为法定货币并发行比特币债券.
2022年EthDenver上,协议专家DanielOlshansky就Pocketnetwork进行了演讲,同时他们为那些与Pocket集成的最佳项目分发多个奖品来支持生态系统的发展.
链资讯