跨鏈橋 Meter passport 昨日在推文上證實,公司遭駭客攻擊損失高達 440 萬美元。 Meter 官方表示原始碼中出現「錯誤的信任假設」,讓駭客得以調用並偽造代幣轉帳。團隊表示,用戶損失的 BNB 與 WETH 將以 1 比 1 的價值轉換為 $MTRG 補償用戶。
(前情提要:Solana出大事!跨鏈橋Wormhole遭駭3.2億鎂WETH,官方提供駭客「1000萬鎂獎金」籲其歸還)
以太坊側鏈 Meter 的區塊鏈開發母公司於昨(6)日在發推文證實,跨鏈橋產品 Meter Passport 在美東時間早上 9 點被駭客入侵,損失 440 萬美元。
Meter 表示:
Meter Passport 不幸地在幾個小時前遭到駭客攻擊。
請不要再交易流通於 Moonriver 平行鏈上不被支持的 meterBNB 交易對。
我們已經找到問題所在:Passport 有一個自動 wrap/unwrap gas 代幣(如 ETH 和 BNB)的功能,以方便用戶使用。
However the contract did not block direct interaction of the wrapped ERC20 tokens for the native gas token and did not properly transfer and verify the correct number of WETH transferred from the callers’ address.
We are working on compensating funds to all affected users.
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
但 Meter 接續表示:
然而,合約並沒有直接阻止打包( wrap) 過的 ERC-20 與原生 gas 代幣交易,也沒有正確轉移與驗證從調用者地址轉移的 WETH 正確數量。
我們會向所有受影響用戶補償資金。
隨後,區塊鏈研究公司派盾 PeckShield 也發推文證實,這起事件共有 1,391 ETH 和 2.74 BTC 遭駭客竊取:
Meter_io 此次遭駭客攻擊損失約 430 萬美元(包括 1,391 ETH 和 2.74 BTC)。
對原始(未受影響)跨鏈橋的擴展出現虛假存款的問題。
The @Meter_IO is hacked with the loss of $~4.3M (including 1391.24945169 ETH + 2.74068396 BTC). The extension over the original (unaffected) ChainBridge introduces a false deposit issue !!! https://t.co/YShfXnEZzD pic.twitter.com/oY6bpau8DA
— PeckShield Inc. (@peckshield) February 6, 2022
經過歷經數小時的理解後,Meter 再發推文統整此一駭客事件的過程與補償辦法。
據 Meter 說法,事發後,已經立即關閉所有跨鏈交易;問題出自 Meter 上擴展原始碼出現的「錯誤的信任假設」,讓駭客得以「調用底層 ERC-20 存款功能」來偽造 BNB 和 ETH 轉帳。
Meter 已經掌握到了駭客的早期蹤跡,並與當局合作中,希望駭客能歸還盜竊資金。
對於制定的補償計畫,Meter 也在稍後表示:
我們正努力快照平台遭攻擊前每個帳戶持有的資產,並將用戶損失的 BNB 與 WETH 以 1 比 1 的價值轉換為 MTRG。剩餘通膨的 BNB 和 WETH 將根據駭客從 LP 池中竊走的價值進行轉換。
我們已經根據今日的市價,提撥出等同為 440 萬美元的 MTRG 給我們的受害用戶做賠償。
We are working on taking a snapshot from before the attack amp; will convert the original BNB amp; WETH to 1:1 their values in MTRG, the rest inflated BNB amp; WETH will be converted based on the hacker stolen value from the LP pools.
We’ve set aside $4.4M of MTRG based on today’s price.
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
駭客事件頻傳,Solana、BSC 鏈接遭殃
近來駭客事件頻傳,據動區先前報導
中國區塊鏈安全公司漫霧科技當時分析,駭客是利用 QBridge 上的漏洞,製造出大量 xETH,隨後至 Qubit Finance 的借貸池中,換取大量 BNB 出來。
隔月再傳駭客事件,連接 Solana 與其他區塊鏈的跨鏈協議 Wormhole 3 日遭駭客攻擊
據 DeFiYield 的排名統計,Wormhole 竊盜案將成為今年對加密貨幣平台最大規模的駭客攻擊,是有史以來被盜金額第二大的 DeFi 駭客攻擊事件,僅次於發生在去年 8 月 Poly Network 被駭事件的 6 億美元,不過駭客後來全數歸還被盜資金。
