Протокол Meter - REKT
Мосты строить - дело опасное.
Мы стали свидетелями еще одной атаки, в ходе которой у Meter.io на BSC было украдено $4.4M, а сопутствующие потери протокола Hundred Finance составили $3.3M.
Это седьмая атака на мост в нашем рейтинге, что указывает на растущий тренд в кросс-чейновой преступности.
Как много времени уйдет на то, чтобы усовершенствовать технические характеристики и остановить эти потери?
Счетчик крутится.
Источник: @ishwinder
Атака началась в ~ 6:00 PST 5-го февраля, когда хакер злонамеренно начеканил значительное количество токенов BNB и wETH, опустошив доступные мосту резервы BNB и wETH, прежде чем Meter смог остановить все транзакции с мостом.
Meter_io Passport представляет собой форк ChainBridge от ChainSafe, но с одним изменением, внесенным в способ депонирования в Handler ERC20 (обработчик).
Это изменение допускает, что если переносимый токен - это обернутый нативный токен, то он не сжигается и не блокируется, потому что нативный токен уже освобожден, а сумма переведена в контракт обработчика.
Это допущение верно для одного из методов депозита, depositEth, который также утверждает значение суммы в calldata (которое затем в конечном итоге будет передано методу депозита обработчика):
Но допущение не верно для другого метода депозита в том же контракте, который, как правило, не охраняется.
Хакер заметил это и послал произвольную сумму в calldata, и она была переведена в депозит обработчика.
Затем добычу за час переместили на Tornado Cash, разбив награбленное на множество транзакций.
Эта атака повлекла за собой побочные потери.
Протокол Hundred Finance потерял $3.3 миллиона из-за оказанного мосту Meter доверия.
Hundred объявил о потере с помощью твита.
Сегодня диплоимент Hundred Finance @MoonriverNW пострадал из-за атаки на мост на @Meter_IO, что повлекло за собой локальное понижение цены BNB.bsc.
Аккаунтам удалось купить BNB.bsc по сниженной цене и использовать эти токены в качестве коллатерала по глобальной цене Chainlink, чтобы взять в долг не скомпрометированные активы на нашей платформе. На данный момент затронуты активы MIM и FRAX.
Мы просим владельцев этих аккаунтов рассмотреть возможность вернуть взятые в долг активы, чтобы другие пользователи смогли получить доступ к своей ликвидности. Один владелец аккаунта уже сделал это, и мы готовы выплатить баунти оставшимся трем, чтобы они поступили так же.
Мы поговорили с основателем Hundred Finance, vfat:
rekt:
Планирует ли Hundred Finance внести какие-либо изменения после этого инцидента? Вы упомянули, что работаете совместно с Meter над возможным решением - могли бы вы рассказать об этом подробнее?
vfat:
Здравствуйте, ну да, конечно, это проблема, о которой мы все слишком хорошо знаем, каждая новая цепочка / мост, который мы добавляем, несет свои собственные риски, и кредитный протокол естественно становится целью для злоумышленников, атакующих мост.
Мы использовали Meter, поскольку они были основным источником BTC на Moonriver, что в сочетании с родным мостом и Multichain дает нам 3 моста на этой цепочке, а это максимум, который мы можем использовать. В дальнейшем мы будем строже относиться к этому и публиковать более подробную информацию о том, какие мосты используются для каких активов. Мы также рассмотрим возможность дополнительного мониторинга на случай возможных атак, подобных этой.
Разумеется, Meter взяла на себя ответственность за этот взлом и намерена использовать свой собственный токен для возмещения ущерба в той мере, в какой это возможно, в настоящее время мы находимся на стадии сбора адресов и сумм.
Интересно то, что всего в Hundred было 4 оппортунистических кредита, но первые два были погашены, поэтому есть некоторая доля надежды на оставшиеся два.
На данный момент потеря пользователей Hundred составляет $3.3M.
Добровольное погашение "оппортунистических кредитов", взятых в Hundred Finance - редкое зрелище, и похвально, что Meter берет на себя полную ответственность за все потери.
Meter утверждают, что у них есть улики, касающиеся личности хакера, и заявили, что сотрудничают с властями для восстановления справедливости.
Однако преступления в сети редко имеют последствия вне сети, и пройдет совсем немного времени, прежде чем мы увидим еще одну подобную атаку.
Будут и другие атаки на мосты, и еще больше пользователей будут терять деньги, но в конце концов кому-то удастся построить безопасный мост.
Мы все еще слишком опережаем время, чтобы быть свободными от рисков, но это значит лишь то, что у нас больше возможностей.
REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.
Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Дисклеймер:
REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.
Вам также понравится...
ДАО Agave, Hundred Finance - REKT
Два форка постигла одна и та же участь. ДАО Agave и Hundred Finance оба стали жертвами одной и той же атаки с использованием повторного входа. В общей сложности украдено $11.7M. Учитывая структуру DeFi на сегодняшний день, двойные потери неудивительны.
Протокол Raydium - REKT
В пятницу АММ-протокол Raydium на базе Solana потерял в общей сложности $4.4 миллиона в виде комиссий из пулов ликвидности. Будущее Solana пост-FTX кажется неопределенным...
Протокол Lodestar Finance - REKT
Протокол Lodestar Finance пополнил список жертв массовых рыночных манипуляций, от которых пострадали не только отдельные пользователи, но и протоколы во всей индустрии. Слив из займовых пулов 6.5 миллионов долларов вывел Lodestar на 77 строчку рейтинга.