Derde hack in minder dan twee weken voor cross-chain bruggen. Deze keer gaat het om Meter Passport, de brug van Meter, die voor 4,3 miljoen dollar is misbruikt na een fout in de code. Dit veroorzaakte ook een waardevermindering van de NBB op Moonriver, waardoor gebruikers goedkopere leningen konden afsluiten.
Meter’s brug gehackt
Meter Passport, de brug van sidechain Meter, werd op 5 februari rond 15.00 uur gehackt voor 4,3 miljoen dollar. De uitbuiting betreft het Moonriver smart contract, dat is gebaseerd op Kusama, het Polkadot blockchain testnet.
Community, we stellen ieders geduld en steun zeer op prijs terwijl we werken om weer aan de slag te gaan na het misbruik van vanmorgen.
We hebben alles gedetailleerd in de onderstaande thread:
– ⚡️Meter.io⚡️ (@Meter_IO) Februari 5, 2022
Volgens het technische rapport van de aanval door Certik, een bedrijf gespecialiseerd in blockchainbeveiliging, stal de hacker meer dan 4,2 miljoen dollar in ETH en 83.000 dollar in wBTC (verpakte bitcoin).
Hij slaagde er naar verluidt in om kwaadaardige code te introduceren in een bridge deposit functie, waardoor het leek alsof hij wETH (verpakte Ether) had gestort, voordat hij het gebruikte om BNB en wETH tokens te slaan voor doorverkoop op SushiSwap.
Om zijn sporen uit te wissen, stuurde de hacker zijn buit vervolgens op Tornado Cash, een protocol dat het mogelijk maakt tokens te mixen om ze onvindbaar te maken.
NBB afschrijving op Moonriver
Maar het probleem stopt helaas niet bij de hack zelf. De hacker heeft zijn gestolen BNB’s doorverkocht op de SushiSwap beurs, waardoor de prijs van het token met 77% is gecrasht op Moonriver.
Als gevolg daarvan maakten gebruikers gebruik van de situatie om NBB’s te kopen tegen een lagere prijs op het Hundred Finance-protocol en ze vervolgens te gebruiken als onderpand om MIM’s, FRAX’s of ETH’s te lenen.
Het Hundred Finance team heeft publiekelijk verzocht dat degenen die van de overtreding hebben geprofiteerd hun fondsen teruggeven om niet de hele gemeenschap te straffen.
2/4. Accounts konden BNB.bsc kopen tegen een gereduceerde prijs en deze tokens gebruiken als onderpand tegen de globale Chainlink-prijs om ongecompromitteerde activa te lenen op ons platform. Hiervan worden MIM en FRAX momenteel beïnvloed.
– Hundred Finance (@HundredFinance) Februari 6, 2022
Op het moment van schrijven, zijn ETH leningen volledig terugbetaald. Het platform heeft echter nog steeds een tekort van 3,3 miljoen dollar.
Meter heeft echter erkend dat het verantwoordelijk is voor de situatie en heeft toegezegd Hundred Finance terug te betalen:
Meter heeft uiteraard de verantwoordelijkheid voor de hack aanvaard en is van plan om zijn native token [MTRG] te gebruiken voor terugbetaling waar mogelijk. Wij verzamelen momenteel de verschillende adressen en het overeenkomstige bedrag voor elk.” – Vfat, de oprichter van Hundred Finance, in een verklaring aan Rekt News.
Cross-chain bridges in trouble
Ondanks deze klap was Meter in staat om snel te reageren en kondigde aan dat het het tekort veroorzaakt door de hack had goedgemaakt door BNB en wETH tokens opnieuw in haar eigen platform te injecteren om de oorspronkelijke 1:1 verhouding te herstellen.
Dit is echter de derde hack van een brug in twee weken tijd, en wat nog belangrijker is, het gaat om drie zeer vergelijkbare processen. Zoals wij op 28 januari meldden, was de brug van Qubit Finance voor 80 miljoen dollar misbruikt.
Minder dan een week later was het de beurt aan het Wormhole-protocol om te worden beroofd van 320 miljoen dollar in de vorm van wETH, en vormde daarmee een van de grootste aanvallen ooit waargenomen in de wereld van gedecentraliseerde financiën.
Het jaar 2022 begint dus nogal pijnlijk voor cross-chain bruggen, die hun inspanningen waarschijnlijk zullen moeten verdubbelen om het vertrouwen van de gebruikers te (her)winnen.
