前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
Injective测试网正在集成外汇功能:金色财经报道,基于Injective构建的DApp正在集成链上外汇功能并在测试网上线EUR代币,以推出无缝的外汇产品。由Injective提供支持的真正去中心化的RWA市场正在初具规模。[2023/3/29 13:32:44]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
Celsius:将在未来几天进行平台维护和测试:金色财经报道,加密借贷平台Celsius在社交媒体上称,该平台将在未来几日内进行平台维护和测试,过程中或将出现有限数量的Token转移情况。[2023/1/14 11:11:30]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
数据:3,100枚BTC从未知钱包转移到OKX:金色财经报道,Whale Alert监测数据显示,北京时间2022年12月22日16:31分,3,100枚BTC (价值约52,214,921美元) 从未知钱包转移到OKX。[2022/12/22 22:01:13]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
标签:FTSCOMCompoundUNDNFTShiba.FinanceSAFECOMETCompound Wrapped BTCIFUND价格
Web3网络效应将需要一个全新的剧本。在过去的十年里,网络效应推动了Web2平台的崛起,也奠定了其主导地位,同时激发了建设者和投资者的想象力.
金色财经?区块链5月16日讯??回顾加密货币十多年发展史,每个人都知道这一领域曾经发生过很多疯狂的事情.
来源:老雅痞 2018年,大获成功的CryptoKitties项目背后的加拿大工作室DapperLabs的RohamGharegozlou在维也纳发表了围绕一个主题的演讲:生活是不可替代的.
头条 ▌Terra区块链已正式停止以预防治理攻击,验证者会在几分钟内协调以重启网络金色财经消息,Terra官方发推称,Terra区块链已经在区块高度7603700处暂停.
原文整理:老雅痞授权转载2021年12月,NFTs--代表现实生活中物品所有权的独特数字资产--在不到5个月的时间里,其价值超过320亿英镑,几乎与全球艺术市场等值.
在埋伏空投中,通过成为项目早期参与者、多体验产品,以及积极参与生态活动等,可以获得更多空投。“空投暴富”的故事一直是业内最津津乐道的话题之一,而刷空投的“刷子”与项目方一直斗智斗勇.