Meter - REKT



Construire des bridges est une affaire dangereuse.

Suite à une nouvelle attaque, 4,4 millions de dollars ont été détournés de Meter.io sur BSC, faisant perdre à Hundred Finance 3,3 millions de dollars en dommages collatéraux.

Ceci est la 7ème attaque de bridge dans notre classement, ce qui indique une tendance à la hausse de la criminalité cross-chain.

Combien de temps cela prendra-t-il pour parfaire la technologie et cesser ces pertes ?

Le compteur tourne, ou, comme le dirait nos amis anglophones, the meter is running.

Source : @ishwinder_

L'attaque a débuté à ~6h PST le 5 février, lorsque l'assaillant a malicieusement minté une quantité substantielle de tokens BNB et wETH, drainant la réserve du bridge de ses BNB et wETH avant que toutes les transactions du bridge puissent être arrêtées par Meter.

Meter_io Passport est un fork de ChainBridge de ChainSafe, mais avec un changement introduit dans la méthode de dépôt du Handler ERC20.

Ce changement suppose, pour résumer, que si le token en train d'être bridgé est un token natif wrappé, il n'y a alors pas de burn ou de lock, le token natif wrappé étant déjà unwrappé et le montant transféré au contrat du handler.

Ce postulat est valable pour l'une des méthodes de dépôt depositEth, qui affirme également la valeur du montant dans calldata (qui sera ensuite transmise à la méthode de dépôt du handler) :

Mais ce postulat n'est pas valable pour un autre dépôt de méthode dans le même contrat, qui n'est généralement pas protégé.

Le hacker s'en aperçoit et envoie un montant arbitraire dans le calldata, lequel est transmis sur le dépôt du handler.

Le butin est ensuite transféré sur Tornado Cash à travers plusieurs transactions effectuées en l'espace d'une heure.

Cette attaque a causé des dommages collatéraux.

Hundred Finance a perdu 3,3 millions de dollars du fait de sa dépendance à l'égard du bridge de Meter.

Hundred a révélé la perte dans un tweet.

Le déploiement de @MoonriverNW de Hundred Finance a été affecté aujourd'hui par une attaque de bridge sur @Meter_IO, et cela a entraîné une dépréciation locale du prix du BNB.bsc.

Les comptes ont pu acheter du BNB.bsc à un prix réduit et utiliser ces tokens comme collatéral au prix global du Chainlink pour emprunter des actifs non compromis sur notre plateforme. Le MIM et le FRAX font actuellement partie des actifs concernés.

Nous demandons aux propriétaires des comptes qui l'ont fait d'envisager de restituer les actifs empruntés afin que les autres utilisateurs puissent accéder à leurs liquidités. Un titulaire de compte l'a déjà fait et nous sommes prêts à payer des primes supplémentaires aux 3 autres pour qu'ils en fassent autant.

Nous avons parlé au fondateur de Hundred Finance, vfat :

rekt :

Hundred Finance va-t-il changer des choses suite à cet incident ? Vous mentionnez que vous travaillez avec Meter pour trouver une issue favorable à tout cela - pouvez-vous nous donner plus de détails ?

vfat :

Bonjour, alors oui, bien sûr, c'est un problème dont nous sommes tous trop conscients, chaque nouvelle blockchain / bridge que nous ajoutons comporte ses propres risques, et un protocole de prêt est une cible naturelle pour les assaillants de bridge.

Nous avons utilisé Meter car ils étaient la principale source de wrapped BTC sur Moonriver. Combiné avec le bridge natif et Multichain, cela nous donne 3 bridges sur cette blockchain, ce qui est le maximum que nous puissions utiliser. À l'avenir, nous serons plus stricts sur ce point et nous publierons des informations plus détaillées sur les bridges utilisés pour chaque actif. Nous examinerons également la possibilité d'une meilleure surveillance pour d'éventuelles attaques comme celle-ci.

Meter a bien sûr accepté la responsabilité de ce hack et a l'intention d'utiliser son token natif pour rembourser autant qu'il le peut. Nous en sommes actuellement au stade de la collecte des adresses et des montants.

Une chose intéressante à noter est qu'il y avait 4 prêts opportunistes à Hundred au total, mais que les 2 premiers ont été remboursés : il subsiste donc un peu d'espoir pour les 2 autres.

La perte actuelle pour les utilisateurs de Hundred se chiffre à 3,3 millions de dollars.

Les remboursements volontaires des "prêts opportunistes" contractés sur Hundred Finance constituent un spectacle rare, et il est admirable que Meter accepte l'entière responsabilité de toutes les pertes.

Meter affirme avoir des preuves de l'identité du hacker, et a déclaré travailler avec les autorités pour que justice soit faite.

Mais les crimes on-chain ont rarement des conséquences off-chain, et il ne faudra pas attendre longtemps avant de voir une autre attaque de ce type.

Il y aura d'autres assaillants, et davantage d'utilisateurs perdront de l'argent, même si quelqu'un finira bien par réussir à construire un bridge sûr.

Si nous sommes encore trop en avance pour être à l'abri des risques, cela signifie également que les opportunités sont multipliées.


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.