FTS:千里之堤毁于蚁穴，Fortress Protocol惨遭攻击_TOKEN

前言

北京时间2022年5月9日，知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击，这是最近实验室检测到的第三起预言机攻击事件，损失包括1,048枚ETH和400,000枚DAI，共计约300W美元，目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

Bybit：不会限制来自俄罗斯联邦的用户:11月6日消息，新加坡加密货币交易所Bybit表示，“不歧视基于位置和护照的加密用户”，将不会限制来自俄罗斯联邦的用户。

此前报道，新加坡金融管理局（MAS）表示，针对俄罗斯的制裁措施适用于所有金融机构，包括加密货币交易所，即使是在新加坡经营的数字支付令牌服务提供商 (DPTSP)，遵守对俄罗斯的金融制裁是必须的。(news.bitcoin)[2022/11/6 12:23:23]

被攻击Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

SBF评“美国CFTC加密监管草案”：核心目标是规范中心化加密场所:10月23日消息，针对美国CFTC加密监管草案已被上传至GitHub，SBF表示，该法案的核心目标是规范中心化加密场所。FTX这样的中心化实体可能会被要求有披露、某种可能的“客户适用性测试”等，以公平的方式完成这项工作非常重要。

DeFi主要有关的是：受监管的中心化实体如何与DeFi交互？特别是，它不声明DeFi开发者、智能合约和验证者必须做什么。对于制裁，SBF表示，验证者和智能合约需要是免费的、无需许可的和去中心化的，我们应该有工具来使筛选更容易和更快。SBF认为监管会变得更好、更清晰，并为加密货币卷土重来创造途径。此外，SBF表示，但是我们必须再次看到最终的版本；他只支持正确的版本。[2022/10/23 16:36:16]

被攻击预言机地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

巴拿马加密友好银行Towerbank禁止客户使用加密混合器:金色财经报道，巴拿马的BTC和加密友好银行Towerbank表示，在美国外国资产控制办公室 (OFAC) 开始制裁Tornado Cash之后，它将禁止其客户使用加密混合器。

CriptoNoticias报道称，使用 Tornado 的 Towerbank 用户可能面临账户暂停或进一步惩罚措施等制裁。该媒体援引该银行加密和区块链部门负责人 Gabriel Campa 的话说，加密混合器“经常用于非法活动”。（cryptonews）[2022/8/14 12:23:46]

攻击者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

该项目是依旧是Compound的仿盘，但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格；

攻击者通过改变FTS在协议中的价格借走了其他池子中的资产，市场中的借贷池如下：

攻击流程

1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物，提案ID为11；

2、通过调用预言机submit函数改变FTS的价格；

3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场；

4、由于市场价格对于FTS的价值计算出现问题，攻击者使用该抵押品直接调用borrow进行借款；

借取的资产：

5、由于100个FTS没什么价值不需要取回，而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。

总结

本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击，我们敦促所有Fork了Compound的项目方主动自查，目前已知的攻击主要归结于如下几个问题：

千里之堤毁于蚁穴。从内部调用可见，本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。

标签：IMIFTSTOKENCOMASIMIfts币的最近状况imtoken钱包盗u局comp币中文名

SOL热门资讯