Хакер вывел из кроссчейн-моста Meter $4,3 млн

Инфраструктурная DeFi-компания Meter потеряла около $4,3 млн в биткоине и Ethereum в результате взлома.

The @Meter_IO is hacked with the loss of $~4.3M (including 1391.24945169 ETH + 2.74068396 BTC). The extension over the original (unaffected) ChainBridge introduces a false deposit issue !!! https://t.co/YShfXnEZzD pic.twitter.com/oY6bpau8DA

— PeckShield Inc. (@peckshield) February 6, 2022

По данным специалистов фирмы PeckShield, ущерб составил 1391 ETH и 2,74 BTC. В Meter подтвердили взлом.

Community, unfortunately Meter Passport was hacked a few hours ago. Please do not trade the unbacked meterBNB that is circulating on Moonriver.

We have identified the issue: Passport has a feature to automatically wrap and unwrap gas tokens like ETH and BNB for user convenience.

— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022

Злоумышленник воспользовался уязвимостью в функции автоматической «распаковки» токенов газа в протоколе, таких как ETH и BNB, пояснили в компании.

«Контракт не блокировал прямое взаимодействие «обернутых» активов ERC-20 для нативного токена газа, должным образом не передавал и не проверял корректное количество WETH, отправленных с адреса вызывающего [функцию] адреса», — добавила команда Meter.

Базирующаяся в Пало-Альто (Калифорния, США) Meter предоставляет сервис межсетевого взаимодействия смарт-контрактов в сфере DeFi.

В компании заявили, что восстановили работу кроссчейн-моста, обновили смарт-контракты и привлекли стороннего аудитора для кода протокола. На выплату компенсации пострадавшим фирма зарезервировала $4,4 млн в токенах MTRG (исходя из текущих цен).

⚡First and foremost, we want to thank our entire community and each one of our partners for their incredible support over the last 48 hours as we navigated the exploit on our bridge.

We are happy to announce that we have upgraded our smart contracts and Passport is back online! pic.twitter.com/9b5OAoEPmH

— ⚡️Meter.io⚡️ (@Meter_IO) February 8, 2022

Напомним, в начале февраля хакеры вывели из пула кроссчейн-протокола Wormhole на базе Solana 120 000 WETH — свыше $319 млн на момент взлома.

В январе основатель Ethereum Виталик Бутерин назвал кроссчейн-мосты уязвимыми из-за проблем, связанных с безопасностью активов.