Meter.io Bridge Fake Deposit

Am 5. Februar 2022 wurde die Cross-Chain-Bridge Meter Passport um etwa 4,4 Millionen $ ausgenutzt. Der Deposit-Handler der Bridge vertraute fälschlicherweise dem gemeldeten Transferbetrag für native/wrapped Tokens, was es dem Angreifer ermöglichte, einen Mint von Bridge-Assets ohne entsprechende reale Einzahlung auszulösen.

Was geschah

Die deposit-Logik von Meter Passport unterschied zwischen ERC-20-Transfers und Native-Token-(Wrapped-)Transfers. Ein Fehler darin, wie der native/wrapped Pfad den eingezahlten Betrag berechnete, bedeutete, dass ein Angreifer die Einzahlung ohne realen zugrundeliegenden Transfer aufrufen konnte und die Bridge dennoch ein Deposit-Event auslöste, das ihm auf der Ziel-Chain Gutschrift erteilte.

Der Angreifer nutzte dies, um auf der Zielseite Bridge-BNB/ETH zu minten, ohne reale Vermögenswerte auf der Quellseite zu sperren, und verkaufte dann die ungedeckten Bridge-Tokens. Der Exploit betraf auch kurzzeitig Protokolle (z. B. Hundred Finance, Voltage), die Meter-Bridge-Assets verwendeten, bis sie pausierten.

Folgen

• Meter pausierte die Bridge und patchte die Behandlung der Einzahlungsbeträge.
• Meter verpflichtete Treasury-Mittel zu einem Kompensationsplan für betroffene Bridge-Asset-Halter und nachgelagerte Protokolle.
• Keine öffentliche Wiederherstellung vom Angreifer.

Warum es wichtig ist

Meter.io ist eine weitere Instanz von Bridge-"Fake-Deposit" — dieselbe Strukturklasse wie Qubit Finance, Nomad und THORChain. Jede Bridge mintet eine Zielrepräsentation basierend auf einer Behauptung über den Quell-Chain-Zustand; alles, was einem Angreifer erlaubt, diese Behauptung zu fabrizieren, bricht die Bridge vollständig. Die Bridge-Einträge des Katalogs sind, fast ausnahmslos, Variationen dieses einen Satzes — und Meter, das in denselben Monaten wie die größten Bridge-Katastrophen von 2022 auftrat, ist ein kleiner, aber repräsentativer Datenpunkt im Jahr, in dem sich Bridges als die systematisch fragilste Komponente von DeFi erwiesen.