Meter - REKT

Bei einem weiteren Angriff werden Meter.io auf BSC 4,4 Millionen US-Dollar abgenommen, wodurch Hundred Finance 3,3 Millionen US-Dollar an Kollateralschäden verliert.

Dies ist der siebte Bridge-Angriff auf unserer Rangliste, der einen steigenden Trend in der Cross-Chain-Kriminalität zeigt.

Wie lange wird es dauern, die Technologie zu perfektionieren, um diese Verluste zu verhindern?

Der Zähler läuft.

Quelle: @ishwinder

Der Angriff begann am 05.02.2022 um ca. 14:00 UTC, als der Angreifer böswillig eine beträchtliche Menge an BNB- und wETH-Tokens prägte und die Bridge-Reserve seiner BNB und wETH entleerte, bevor alle Bridge-Transaktionen von Meter gestoppt werden konnten.

Meter_io Passport ist ein ChainBridge Fork von ChainSafe, jedoch mit einer Änderung, die an der Einzahlungsmethode der ERC20 Handler vorgenommen wurde.

Diese Änderung geht grundsätzlich davon aus, dass, wenn der Token, der gebridged wird, ein wrapped nativer Token ist, dieser nicht verbrannt oder gesperrt wird, da der wrapped native Token bereits unwrapped und der Betrag an den Handler-Contract übertragen wurde.

Diese Annahme gilt für eine der Einzahlungsmethoden depositEth, die auch den Wert des Betrags in calldata bestätigt (der dann letztendlich an die Einzahlungsmethode des Handlers weitergegeben wird):

Aber die Annahme gilt nicht für eine andere Einzahlungsmethode im selben Contract, die größtenteils unbewacht ist.

Der Hacker bemerkt dies und sendet einen beliebigen Betrag in den calldata, der an die Einzahlung des Handlers weitergegeben wird.

Die Beute wurde dann innerhalb einer Stunde über mehrere Transaktionen in Tornado Cash transferiert.

Dieser Angriff verursachte Kollateralschäden.

Hundred Finance verlor 3,3 Millionen US-Dollar aufgrund ihrer Abhängigkeit von der Meter Bridge

Hundred Finance gab den Verlust in einem Tweet bekannt.

Heute war @MoonriverNW von Hundred Finance von einem Bridge-Angriff auf @Meter_IO, betroffen, der zu einer lokalen Abwertung des Kurses von BNB.bsc führte.

Konten konnten BNB.bsc zu einem reduzierten Preis erwerben und diese Token als Sicherheiten zum globalen Chainlink-Preis verwenden, um unkompromittierte Assets auf unserer Plattform zu leihen. Von diesen sind derzeit MIM und FRAX betroffen.

Wir möchten die Inhaber der Konten, die dies getan haben, bitten, die geliehenen Assets zurückzugeben, damit andere Nutzer auf ihre Liquidität zugreifen können. Ein Kontoinhaber hat dies bereits getan, und wir sind bereit, den übrigen drei Kontoinhabern weitere Prämien zu zahlen, wenn sie dasselbe tun.

Wir haben mit dem Gründer von Hundred Finance, vfat, gesprochen:

rekt:

Wird Hundred Finance nach diesem Vorfall irgendwelche Änderungen vornehmen? Du hast erwähnt, dass du mit Meter an einer möglichen Lösung arbeitest - kannst du weitere Einzelheiten nennen?

vfat:

Hallo, also ja, natürlich ist dies ein Problem, dessen wir uns nur allzu bewusst sind. Jede neue Chain/Bridge die wir hinzufügen, birgt ihre eigenen Risiken, und ein Kreditprotokoll ist ein natürliches Ziel für Bridge-Angreifer.

Wir haben Meter verwendet, da sie die Hauptquelle für wrapped BTC auf Moonriver waren. Zusammen mit der nativen Bridge und Multichain sind wir damit bei 3 Bridges auf dieser Chain, was das Maximum ist, das wir verwenden würden. In Zukunft werden wir strenger sein und detailliertere Informationen darüber veröffentlichen, welche Bridges für welche Assets verwendet werden. Wir werden auch eine zusätzliche Überwachung für mögliche Angriffe wie diesen in Betracht ziehen.

Meter hat natürlich die Verantwortung für diesen Hack übernommen und beabsichtigt, ihren eigenen Token für die Rückerstattung zu verwenden, soweit es ihm möglich ist; derzeit befinden wir uns in der Phase des Sammelns von Adressen und Beträgen.

Interessant ist, dass es bei Hundred insgesamt 4 opportunistische Darlehen gab, von denen die ersten beiden zurückgezahlt wurden, so dass es für die anderen beiden noch einen Funken Hoffnung gibt.

Der derzeitige Verlust für Hundred Nutzer beträgt 3,3 Millionen US-Dollar.

Die freiwilligen Rückzahlungen der „opportunistischen Kredite“, die bei Hundred Finance aufgenommen wurden, sind ein seltener Anblick, und es ist lobenswert, dass Meter die volle Verantwortung für alle Verluste übernimmt.

Meter behauptet, einige Beweise für die Identität des Hackers zu haben, und hat erklärt, dass sie mit Behörden zusammenarbeiten, um Gerechtigkeit zu schaffen.

Kriminalität auf der Chain hat jedoch selten Folgen im echten Leben, und es wird nicht lange dauern, bis wir einen weiteren Angriff dieser Art sehen.

Es wird mehr Anschläge auf Bridges geben, und mehr Nutzer werden Geld verlieren, aber irgendwann wird es jemandem gelingen, eine sichere Bridge zu bauen.

Es ist noch zu früh, um risikofrei zu sein, aber das bedeutet nur mehr Chancen.

REKT serves as a public platform for anonymous authors, we take no responsibility for the views or content hosted on REKT.

donate (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

disclaimer:

REKT is not responsible or liable in any manner for any Content posted on our Website or in connection with our Services, whether posted or caused by ANON Author of our Website, or by REKT. Although we provide rules for Anon Author conduct and postings, we do not control and are not responsible for what Anon Author post, transmit or share on our Website or Services, and are not responsible for any offensive, inappropriate, obscene, unlawful or otherwise objectionable content you may encounter on our Website or Services. REKT is not responsible for the conduct, whether online or offline, of any user of our Website or Services.