前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
USDC Treasury今晨分兩次共銷毀3.2億枚USDC:金色財經報道,據Whale Alert監測,北京時間2023年2月15日5:16,USDC Treasury銷毀2.2億枚USDC。隨后6:14,USDC Treasury再次銷毀1億枚USDC。[2023/2/15 12:07:36]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
孫宇晨:火必將與Gemini和DCG就他們的債務危機進行建設性對話:1月3日消息,波場TRON創始人、Huobi Global顧問委員會成員孫宇晨發推稱:“火必對Gemini和Digital Currency Group(DCG)面臨的債務危機深表關注。我們愿意盡自己的一份力量,幫助找到解決辦法。我們知道這是一個復雜而敏感的問題,我們已經準備好與Gemini和DCG團隊進行建設性對話,以找到前進的道路。”
此前金色財經報道,Gemini聯創公開致信DCG創始人,要求其在1月8日前給出解決方案償還所欠的9億多美元,并稱DCG欠Genesis約16.75億美元。今日早些時候消息,DCG創始人對此表示否認,并稱DCG從未拖欠Genesis的利息。[2023/1/3 22:21:35]
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
Tulip Protocol已重啟平臺上的所有存款功能:11月30日消息,Solana生態收益聚合器和杠桿收益耕作平臺Tulip Protocol宣布,已重啟平臺上的所有存款功能。
此前在11月14日,Tulip Protocol宣布在鏈上流動性穩定和改善之前將暫停貸款存款、新增杠桿頭寸和whirlpool存款。[2022/11/30 21:12:47]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
Solana生態DEX Serum或將被分叉:金色財經報道,Solana開發人員分叉Serum,因為它可能在FTX的黑客攻擊中受到損害。Solana創始人Anatoly Yakovenko指出,開發人員今天急于分叉Serum的代碼,并在沒有FTX參與的情況下恢復協議。開發人員需要另一個版本的Serum,因為原始版本只能通過由FTX而非Serum DAO控制的私鑰來更新。(The Block)[2022/11/13 12:59:17]
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
在過去的十年中,我們見證了各類Web3項目的爆炸式增長。Compound?正在構建Web3版本的美國銀行,Uniswap?就像紐約證券交易所,YearnFinance是去中心化的貝萊德等.
1900/1/1 0:00:00前言 這篇文章是探索web3對于教育影響系列文章的一部分---我們稱之為ed3。作者ScottMeyer和VritiSaraf希望教育系統為未來的學習做好準備.
1900/1/1 0:00:00這是BettinaWarburg在2016年6月TEDSummit上對區塊鏈及其對世界經濟影響的精彩描述的文字記錄.
1900/1/1 0:00:00區塊鏈投資公司CryptoValleyVentureCapital(CVVC)和南非標準銀行的一份新報告顯示,隨著非洲地區繼續采用加密貨幣和區塊鏈,與2021年第一季度相比.
1900/1/1 0:00:00元宇宙的預言和趨勢分析 元宇宙:已來的未來 元宇宙實際上早已來到了人間,來到了商業領域。 一、五連冠和EDG 前不久,EDG獲得《英雄聯盟》S11總決賽冠軍,這場決賽,據統計有4.5億人次觀看.
1900/1/1 0:00:00風起于青萍之末,強大的企業總是在最艱難的時期建立起來的。市場低迷時,很多博客或推特貼文都給出了相同的建議:節省現金、延長期限、從關注增長轉向關注效率.
1900/1/1 0:00:00