Meter - REKT

Construir bridges es un asunto peligroso.

Otro ataque muestra $4.4M robados de Meter.io en BSC, haciendo que Hundred Finance perdiera $3.3M en daños colaterales.

Este es el 7° ataque a un puente en nuestro leaderboard, mostrando una tendencia a la alza en la criminalidad cross-chain.

¿Cuánto pasará hasta que perfeccionemos la tech y paremos estas pérdidas?

El Meter esta corriendo.

Crédito: @ishwinder

El ataque comenzó a las ~6am PST el 5 de febrero, cuando el agresor maliciosamente acuñó una gran cantidad de tokens BNB y wETH, vaciando la reserva del bridge de su BNB y wETH antes de que todas las transacciones pudieran ser suspendidas por Meter.

Meter_io Passport es un fork del ChainBridge de ChainSafe, pero con un cambio introducido en el método deposit del ERC20 Handler.

Este cambio básicamente asume que, si el token que será transferido es un wrapped token nativo, no lo quema ni lo bloquea ya que el token ya está unwrapped y la cantidad es transferida al contrato handler.

La suposición sigue siendo verdad para uno de los métodos de depósito depositEth que también utiliza la cantidad en calldata (lo que finalmente se pasará al metodo deposit del handler):

Pero la suposición no es verdad para otro método de depósito dentro del mismo contrato que, en la mayor parte, está sin defensa.

El hacker nota esto y manda una cantidad arbitraria en el calldata, lo que se pasa al depósito del handler.

El botín luego fue transferido a Tornado Cash en múltiples transacciones durante una hora.

Este ataque generó daños colaterales.

Hundred Finance perdió $3.3M debido a su dependencia al puente de Meter.

Hundred anunció la pérdida en un tweet.

Hoy, el deployment @MoonriverNW de Hundred Finance fue afectado por un ataque del puente de @Meter_IO que resultó en la depreciación local del precio de BNB.bsc.

Fue posible comprar BNB.bsc a precio reducido y utilizar esos tokens como colateral al precio global de Chainlink para tomar préstamos de activos no afectados en nuestra plataforma. De estos, MIM y FRAX han sido impactados.

Queremos pedir a los dueños de las cuentas que se aprovecharon de este incidente que consideren devolver los activos prestados para que los otros usuarios puedan acceder a su liquidez. 1 de las cuentas ya lo ha hecho y estamos dispuestos a pagar bounties a los otras 3 por hacer lo mismo.

Hablamos con el fundador de Hundred Finance, vfat:

rekt:

¿Hundred Finance hará algún cambio después de este incidente? Mencionas que estás trabajando con Meter hacia un posible solución - podrías dar más detalles?

vfat:

Hola, si claro, esto es un asunto del que estamos muy conscientes, cada nuevo chain/bridge que añadimos tiene sus propios riesgos, y un protocolo de préstamos es un blanco obvio para los que atacan los puentes.

Usamos Meter por que es la fuente principal de BTC wrapped en Moonriver, esto, combinado con el bridge nativo y Multichain nos pone a 3 bridges en esa chain lo que es lo máximo que utilizaríamos. En el futuro estaremos más estrictos sobre esto, y publicaremos información más detallada sobre cuáles bridges son utilizados para cuáles activos. También consideraremos una vigilancia adicional para los posibles ataques como estos.

Meter, desde luego, ha aceptado la responsabilidad por este hack y tienen la intención de utilizar su token nativo para reembolsar lo que puedan, actualmentes estamos en la etapa de recopilar direcciones y cantidades.

Una cosa interesante es que había 4 préstamos oportunistas en Hundred, en total, pero los primeros 2 han sido devueltos, así que todavía hay un poco de esperanza en los otros 2.

La pérdida actual de los usuarios de Hundred es de $3.3M.

Las devoluciones voluntarias de los “préstamos oportunistas” tomados de Hundred Finance son algo poco común, y es loable que Meter acepte la responsabilidad entera por todas las pérdidas.

Meter afirma tener evidencia sobre la identidad del hacker, y dice que está trabajando con las autoridades para hacer justicia.

No obstante, los crímenes on-chain pocas veces tienen consecuencias off-chain, y no pasará mucho hasta que veamos otro ataque de este tipo.

Habrá más ataques de puentes, y más usuarios perderán su dinero, pero eventualmente alguien logrará construir un bridge seguro.

Todavía es muy pronto para estar libre de riesgos, pero esto solamente significa que hay mayores oportunidades.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.