前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
孫宇晨:火幣、Poloniex和USDD與FTX沒有任何投資以及資金往來:11月12日,波場TRON創始人、Huobi Global顧問委員會成員孫宇晨在推特表示,火幣、Poloniex和 USDD對于FTX沒有任何投資,也沒有任何資金往來,用戶資產超100%保證金。(因為賺錢)火幣之前因清退在短時間,完成了數百億美金用戶資金兌付,剛剛一個月前因收購轉移也做完了100%保證金審計,是行業內最為安全的交易所,未來一個月會再做一次默克爾樹審計。[2022/11/12 12:55:14]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
RSS3短時突破0.31USDT,24小時漲幅超120%:金色財經報道,行情顯示,RSS3短時突破0.31USDT,24小時漲幅超120%。[2022/11/3 12:13:16]
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
內蒙古日報:蘇尼特左旗退出4家高耗能虛擬貨幣“挖礦”企業:金色財經報道,據內蒙古日報消息,蘇尼特左旗強化能耗雙控管理,對重點用能單位實施有序用電和節能改造,退出4家高耗能虛擬貨幣“挖礦”企業,能耗雙控“由紅轉綠”。[2022/8/25 12:47:25]
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
Veritic CEO:簡化對NFT的訪問可以促進主流采用:金色財經報道,在2022年達沃斯世界經濟論壇的第4天,舉行了關于NFT的演講。Veritic首席執行官 Stephan Holzer認為簡化對NFT的訪問可以促進主流采用,Holzer解釋稱:我們希望啟用下一個十億,這需要 NFT 托管。而且我個人認為,NFT可能具有的潛力可能比加密貨幣本身更大。
Holzer 指出,為新用戶提供更熟悉的界面和托管服務,用戶無需設置自己的錢包,這可能會改變整個市場的游戲規則。
此外,Seal Storage Technology首席執行官 Alex Altman表示,只要以正確的方式創建和存儲該資產,絕對沒有理由說房屋契約不能成為獨特的數字資產。由于NFT純粹是獨一無二的,因此該資產也可以很容易地轉移。[2022/5/26 3:42:20]
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
北京時間2022年2月22日下午1:46,CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動,FlurryFinance的Vault合約受到攻擊.
1900/1/1 0:00:002022年1月13日互聯網飛艇即將來到桑給巴爾,WorldMobile能否在谷歌失敗的地方取得成功? 英國數據監管機構將對Worldcoin進行進一步調查:金色財經報道,英國數據監管機構表示.
1900/1/1 0:00:00相關文章: Rust智能合約養成日記合約狀態數據定義與方法實現Rust智能合約養成日記編寫Rust智能合約單元測試Rust智能合約養成日記Rust智能合約部署.
1900/1/1 0:00:00流動性挖礦涉及在智能合約中存入加密資產,以換取收益 流動性挖礦可能涉及相當大的風險。本文僅用于教育目的,不應被視為財務建議。在做出任何投資決定之前,請考慮您的個人風險狀況.
1900/1/1 0:00:00Qredo的MetamaskInstitutional集成已經離開Beta版,并進入全面生產階段,為各地的機構提供久經考驗的機構級Web3和DeFi錢包.
1900/1/1 0:00:00“因為稀有才是珍貴的,而水是最便宜的,但最好的。”——柏拉圖,《歐西德摩斯》30多年前,第一個網頁是在歐洲核子研究中心所創建的,由TimBerners-Lee爵士和其他科學家想象構建.
1900/1/1 0:00:00