前言
北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
Prometheum成为美国首家拥有数字资产证券托管权的经纪交易商:金色财经报道,美国证券交易委员会(SEC)创建的监管机构金融业监管局(FINRA)宣布,其批准 Prometheum Ember Capital 成为第一家拥有数字资产证券托管权的经纪交易商。
据悉,加密公司 Prometheum Ember Capital 专为遵守 SEC 法规而建立,假设几乎所有 Token 都是现行美国法律下的证券。
此前报道,Prometheum将在SEC监管的平台上提供数字证券交易。[2023/5/23 15:20:57]
基础信息
慢雾创始人发布MetaMask浏览器插件失效解决法方案:2月16日,慢雾创始人在回复社区成员问题时,分享 MetaMask 浏览器插件无法启动解决法方案,在没有备份过助记词/私钥,同时重启插件/电脑均无法解决的情况下,可在电脑本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn,这是 MM 扩展 id,如这个目录下:
C:\\Users\\[User]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Local Extension Settings
kbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 这些文件,在这些文件里找到如图目标内容。
后用 metamask.github.io/vault-decryptor/解开这段目标内容,Password 就是目标 MetaMask 扩展的密码。
若 MM 的任意扩展页面可以打开,比如:chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html,则用下面的方式也有得到待解密的内容:
chrome.storage.local.get('data', result => {
var vault = http://result.data.KeyringController.vault
console.log(vault)
})[2023/2/16 12:10:14]
tx:0x5a87c24d0665c8f67958099d1ad22e39a03aa08d47d00b7276b8d42294ee0591
前Meta高管Salil Shah加入Web3社交网络DeSo并担任COO:11月8日消息,前Meta高管Salil Shah加入Web3社交网络DeSo并担任COO,负责扩大业务规模并推动Web3技术从单纯的金融应用扩展到以创作者为中心的社交范畴,其工作将直接向创始人Nader Al-Naji汇报。(Business Insider)[2022/11/8 12:33:50]
攻击者:0x8d3d13cac607B7297Ff61A5E1E71072758AF4D01
Bridge:0xFd55eBc7bBde603A048648C6eAb8775c997C1001
Metrika完成1400万美元A轮融资,Neotribe Ventures领投:9月21日消息,区块链监控初创公司Metrika获得1400万美元A轮融资,Neotribe Ventures领投,Coinbase Ventures、Samsung NEXT、Nyca Partners、SCB 10X等参投。Metrika首席执行官Nikos Andrikogiannopoulos表示,此轮融资是股权交易,作为交易的一部分,Neotribe Ventures联合创始人Swaroop“Kittu”Kolluri加入Metrika董事会。
Metrika计划利用新资金扩大其平台的容量,并扩大其跨行业的客户群。据悉,Metrika目前的客户包括Algorand、Solana、ConsenSys、Dapper Labs、Hedera Hashgraph、Blockdaemon。(The Block)[2021/9/21 23:41:09]
ERC20Handler:0x5945241BBB68B4454bB67Bd2B069e74C09AC3D51
漏洞原理
漏洞关键在于跨链桥合约的deposit函数中,deposit函数会根据resourceID取相应的depositHandler,并调用deposit函数进行实际的质押逻辑。
而在depositHandler的deposit函数中,存在逻辑缺陷,当tokenAddress不为_wtokenAddress地址时进行ERC20代币的销毁或锁定,若为_wtokenAddress则直接跳过该部分处理。
该存在缺陷的逻辑判断可能基于在跨链桥合约中的depositETH函数会将链平台币转为wToken后转至depositHandler地址,所以在depositHandler执行deposit逻辑时,已处理过代币转移,故跳过代币处理逻辑。
但跨链桥合约的deposit函数中并没有处理代币转移及校验,在转由deposiHandler执行deposit时,若data数据构造成满足tokenAddress==_wtokenAddress即可绕过处理,实现空手套白狼。
总结
本次攻击事件核心原因在于http://Meter.io跨链桥depositHandler质押处理器中,存在逻辑判断缺陷,满足了跨链桥合约depositETH的逻辑场景,但忽视了deposit逻辑场景存在绕过缺陷。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
Polkadot生态研究院出品,必属精品 背景 继2020年波卡主网上线后,2021年对于波卡来说也是不平凡的一年.
1900/1/1 0:00:00Jessica:欢迎来到WorldMobile特别节目,和我一起了解WorldMobile的更多讯息。我是Jessica\nWalker。今天我们邀请到的是来自WorldMobile公司的Divij和Vinay\nRuparelia.
1900/1/1 0:00:00艺术NFT兴起主要由一个数字艺术家的小型社区推动。随着这个场景获得更多的关注度和影响力,其他艺术家也慢慢加入进来。崭露头角的数字艺术家将NFT当做展示自己作品的机会,而传统的知名艺术家也开始进行数字艺术品尝试.
1900/1/1 0:00:00“现有的学术期刊系统已经千疮百孔。这篇文章我们讨论了潜在的解决方案,包括我们需要什么样的期刊,以及web3技术带来的新的可能.
1900/1/1 0:00:00音乐有了新的画布。 通过NFTs直接评价创造者的工作,没有中间层的干扰。我们正在见证一场新音频运动革命的早期阶段,它凭借“稀缺性”、“粉丝”和“访问量”驱动.
1900/1/1 0:00:00Grace/img/20230515010540223621/0.jpg "/>FootprintAnalytics-NumberofSocialfiCategories 最为人所知的WHALE WHALE是由名为WhaleShark.
1900/1/1 0:00:00