Meter - REKT



Köprü inşası tehlikeli bir iştir.

Bir başka köprü saldırısı, BSC'deki Meter.io'dan hacklenerek alınan 4,4 milyon doların, Hundred Finance’de 3,3 milyon dolarlık ikincil bir hasar yaratmasına neden oluyor.

Bu olay, zincirler arası suçlarda artan bir eğilimi göstermekle birlikte, lider tablomuzdaki 7. köprü saldırısıdır.

Teknolojiyi mükemmelleştirmek ve bu kayıpları durdurmak daha ne kadar zaman alacak?

Sayaç dönmeye devam ediyor.

Kaynak: @ishwinder

Saldırı, 5 Şubat günü öğleden sonra saat 14:00 UTC’de, saldırganın hileli bir şekilde önemli miktarda BNB ve wETH tokenı basması ve tüm köprü işlemleri Meter tarafından duraklatılmadan önce BNB ve wETH'in köprü rezervini boşaltmasıyla başladı.

Meter_io Passport, ChainSafe'in ChainBridge'inin ERC20 işleyicisi'nin yatırma yöntemine getirdikleri bir değişiklikle oluşturulmuş klonudur.

Bu değişiklik temel olarak, köprülenen token eğer bir wrapped Native token ise, wrapped Native token zaten açılmamış olduğundan ve tutar işleyici kontrata aktarıldığından tutarın yanmayacağını veya kilitlenmediğini varsayar.

Bu varsayım, ‘calldata'daki miktarın değerini de belirten depositEth yatırma yöntemlerinden biri için geçerlidir (ve sonunda işleyicinin yatırma yöntemine iletilecektir):

Ancak varsayım, aynı kontratta çoğunlukla korumasız olan başka bir yatırma yöntemi için geçerli değildir.

Hacker bunu fark eder ve ‘calldata’ya işleyicinin depositine aktarılan gelişigüzel bir miktar gönderir.

Daha sonra bu istismar ile yapılan vurgun, bir saat içerisinde birden fazla işlem ile Tornado Cash'e taşındı.

Ayrıca bu saldırı ikincil bir hasar da yarattı.

Hundred Finance, Meter köprüsüne bel bağladığı için 3,3 milyon dolar zarar etti.

Hundred bir tweet ile zararını açıkladı.

Bugün Hundred Finance'in @MoonriverNW yerleştirmesi, @Meter_IO'ya yapılan ve BNB.bsc fiyatında lokal olarak değer kaybına neden olan bir köprü saldırısından etkilendi.

Hesaplar, BNB.bsc'yi çok düşük fiyattan satın alabildi ve bu tokenları, platformumuzda hackten etkilenmemiş varlıkları borç almak için global Chainlink fiyatında teminat olarak kullanabildi. Bunlardan MIM ve FRAX şu anda etkilenmiş durumda.

Bunu yapan hesap sahiplerinin, diğer kullanıcıların likiditelerine erişebilmeleri için borç alınan varlıkları iade etmeyi düşünmelerini rica ediyoruz. Bir hesap sahibi bunu zaten yaptı ve biz de aynısını yapmaları karşılığında kalan üç hesap sahibine daha fazla ödül ödemeye hazırız.

Hundred Finance'in kurucusu vfat ile konuştuk:

rekt:

Hundred Finance bu olaydan sonra herhangi bir değişiklik yapacak mı? Olası bir çözüm için Meter ile çalıştığınızdan bahsediyorsunuz - daha fazla ayrıntı verebilir misiniz?

vfat:

Merhaba, evet tabii ki bu hepimizin fazlasıyla farkında olduğu bir konu, eklediğimiz her yeni zincir/köprü kendi risklerine sahip ve bir borç verme protokolü de köprü saldırganları için doğal bir hedef oluyor.

Moonriver'da wrapped BTC'nin ana kaynağı olduğu için Meter'i kullandık, bu yerel köprüyle birleştirildi ve Multichain bizi bu zincirde kullanacağımız maksimum 3 köprüye yerleştirdi. İleride bu konuda daha dikkatli olacağız ve hangi varlıklar için hangi köprülerin kullanıldığı hakkında daha ayrıntılı bilgi yayınlayacağız. Ayrıca, bunun gibi olası saldırılar için ekstra gözlemleme ve takip yapacağız.

Meter elbette bu saldırının sorumluluğunu kabul etti ve kendi native tokenlarını geri ödeme yapmak için ellerinden geldiğince kullanmayı planlıyorlar, şu anda adresleri ve miktarları toplama aşamasındayız.

İlginç olan bir şey de, Hundred'da toplamda 4 fırsatçı borçlanmanın olması, ancak ilk 2'sinin geri ödenmiş olması, yani diğer 2'si için hâlâ bir nebze umut var.

Hundred kullanıcılarının şu anki zararı 3,3 milyon dolardır.

Hundred Finance'te alınan “fırsatçı borçlanmanın” gönüllü olarak geri ödenmesi nadir görülen bir olaydır ve Meter'in tüm kayıplar için tam sorumluluk kabul etmesi takdir edilecek bir hareket.

Meter, hackerın kimliğine dair bazı kanıtlara sahip olduğunu iddia etti ve adaleti sağlamak için yetkililerle birlikte çalıştıklarını bildirdi.

Ancak şu var ki, zinci-üstü suçlar nadiren zincir dışı sonuçlara bağlanır ve buna benzer başka saldırılar görmemiz uzun sürmeyecek.

Daha fazla köprü saldırısı olacak ve daha fazla kullanıcı para kaybedecek, fakat sonunda birileri güvenli bir köprü inşa etmeyi başaracaktır.

Tümüyle risksiz bir yapı olmak için henüz çok erken, ancak bu durum daha fazla fırsat anlamına da geliyor.


bu makaleyi paylaş

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.