前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
Stargate EqReward升级设计提案已获投票通过:6月1日消息,Snapshot投票页面显示,跨链桥Stargate社区已投票通过“升级Stargate EqReward设计”提案,最终支持率达92.66%。该提案或可解决此前某巨鲸反复添加和移除流动性以套利的行为。
该提案提议取消给予再平衡转账的折扣,使其支付较少的协议费(将所有转账的协议费保持在6-10个基点);更新feelibrary,使分配的最大eqReward是该途径的最大协议费(6-10 个基点),这意味着再平衡协议用户将收到0费用,但不会因为这样做而获得额外的奖励。上述更新不会对Stargate核心协议产生实质性影响。通过修改feelibrary,只返还费用而非提供奖励,用户将无法获取额外eqRewards,允许协议保留更多的eqRewards,并激励Stargate的持续平衡。[2023/6/1 11:52:41]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Qredo完成1600万美元私募融资,Coinbase、LD Capital等参投:据官方消息,去中心化数字资产基础设施和技术提供商Qredo宣布完成1600万美元私募融资,参投机构包括Nexo、Coinbase、Figment、Ledger Prime、LD Capital、Signum Capital、Accomplice,以及天使投资人Meltem Demirors(Coinshares的CSO)和Miles Parry(Genesis Global Trading的托管负责人)。
此前5月初消息,Qredo宣布完成种子轮融资,总额近1100万美元,G1、Gumi Cryptos、Maven 11、Spartan Group、1kx和Kenetic资本领投。[2021/6/29 0:15:02]
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
加密托管公司Qredo完成1100万美元种子轮融资:金色财经报道,总部位于伦敦的加密托管公司Qredo宣布完成1100万美元种子轮融资,该公司正准备发展成为一个DAO。Celsius、Wintermute、Deribit等区块链行业基金参与了投资。
据悉,Qredo提供了去中心化版本的MPC,协议最终将由DAO(去中心化自治组织)控制,验证者社区负责监督操作。[2021/5/4 21:21:25]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。