Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 078Exploit de pont

Faux dépôt sur le pont Meter.io

Le pont Meter Passport a perdu 4,4 M$ : son gestionnaire de dépôt a accepté un montant de jeton enveloppé sans contrepartie, créant des BNB/ETH pontés.

Date
Victime
Meter.io
Chaîne(s)
MeterBNB Chain
Statut
Fonds dérobés

Le 5 février 2022, le pont cross-chain Meter Passport a été exploité pour environ 4,4 millions de dollars. Le gestionnaire de dépôt du pont faisait à tort confiance au montant rapporté pour les jetons natifs/enveloppés, permettant à l'attaquant de déclencher la création d'actifs pontés sans dépôt réel correspondant.

Ce qui s'est passé

La logique deposit de Meter Passport distinguait les transferts ERC-20 des transferts de jetons natifs (enveloppés). Une faille dans la façon dont le chemin natif/enveloppé calculait le montant déposé permettait à un attaquant d'invoquer le dépôt sans transfert sous-jacent réel et de faire en sorte que le pont émette un événement de dépôt le créditant sur la chaîne de destination.

L'attaquant a utilisé cela pour créer des BNB/ETH pontés du côté destination sans verrouiller d'actifs réels du côté source, puis a vendu les jetons pontés non garantis. L'exploit a également brièvement affecté les protocoles (par exemple Hundred Finance, Voltage) qui utilisaient des actifs pontés via Meter, jusqu'à ce qu'ils fassent une pause.

Conséquences

  • Meter a mis en pause le pont et corrigé la gestion du montant de dépôt.
  • Meter a engagé des fonds du trésor dans un plan de compensation pour les détenteurs d'actifs pontés affectés et les protocoles en aval.
  • Aucune récupération publique auprès de l'attaquant.

Pourquoi c'est important

Meter.io est une instance de plus du « faux dépôt » de pont — la même classe structurelle que Qubit Finance, Nomad, et THORChain. Chaque pont crée une représentation de destination basée sur une prétention concernant l'état de la chaîne source ; tout ce qui permet à un attaquant de fabriquer cette prétention casse le pont entièrement. Les entrées de pont du catalogue sont, presque sans exception, des variations sur cette seule phrase — et Meter, survenu dans les mêmes mois que les plus grandes catastrophes de ponts de 2022, est un point de données petit mais représentatif de l'année où les ponts se sont avérés être le composant le plus systématiquement fragile de la DeFi.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-meter-io-hack-february-2022
  2. [02]beincrypto.comhttps://beincrypto.com/cross-chain-bridge-hack-of-meter-sees-4-4m-stolen/
  3. [03]rekt.newshttps://rekt.news/meter-rekt

Dépôts liés