前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
Mysten Labs開源其Web3游戲預覽SuiFrens的Sui Move代碼:6月14日消息,Sui開發公司Mysten Labs發推表示,致力于提高透明度,最近開源了其Web3游戲預覽SuiFrens的Sui Move代碼和Sui Kiosk Royalties Extension,以分享高質量、應用級的參考代碼。
此前消息,Mysten Labs于今年4月宣布其Web3游戲預覽SuiCapys已更名為SuiFrens,并在測試網上線。Capys現在屬于SuiFrens家族中的一員。[2023/6/14 21:36:15]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
美國蒙大拿州州長簽署支持加密貨幣挖礦法案成為法律:金色財經報道,美國蒙大拿州州長Greg Gianforte簽署了第178號法案,主要是阻止該州地方政府通過禁止加密貨幣挖礦的法律。該立法通過修改現行法律、禁止對礦業公司的歧視性電價以及不允許對用作支付方式的加密征稅,有效地保護了該州的加密礦工權利。(Cointelegraph)[2023/5/5 14:44:26]
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
Arkham Intelligence宣布將在第一季度增加對Polygon的支持:1月26日消息,Arkham Intelligence宣布增加對Polygon的支持,使用戶能夠跟蹤、監控和識別其鏈上的錢包。這是除了以太坊之外,Arkham Intelligence將在第一季度增加支持的第二條鏈。Arkham表示,之所以選擇Polygon進行第二次整合,是因為其與迪士尼、星巴克和Stripe的合作伙伴關系,以及其龐大的用戶群。
根據DeFiLlama的說法,鏈上活動繼續擴展到多個區塊鏈,Polygon是TVL最大的第1層區塊鏈之一。Arkham計劃在未來增加對其他區塊鏈的支持,并表示 在其平臺上集成多個鏈“為鏈上研究開辟了新的可能性”。 Arkham Intelligence去年為其平臺推出了私人Beta測試。它目前允許列入白名單的用戶共享推薦鏈接,這些鏈接將用于空投其ARKM代幣。[2023/1/26 11:30:52]
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
薩爾瓦多的銀行平臺Galoy推出由比特幣支持的合成美元:金色財經報道,支持薩爾瓦多比特幣錢包的開源金融技術Galoy推出了Stablesats。此外,它宣布已成功籌集400萬美元資金,以支持其 GaloyMoney 比特幣銀行平臺的持續發展。通過利用衍生品合約來生產由比特幣支持并與美元掛鉤的合成美元,Stablesats尋求為目前的穩定幣網絡和常規銀行整合提供替代方案。[2022/8/3 2:56:54]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:004月22日,頂峰AscendEX同時上線五款熱門幣種的Staking質押方案,包括雪崩協議Avalanche、現象級鏈游AxieInfinity、高性能公鏈Fantom、Layer2擴展方案Po.
1900/1/1 0:00:00NovaBattles是一款基于區塊鏈技術的團隊MOBA手游,該公司早在2019年就開始構思區塊鏈游戲的前景,之后在設計、系統和合作伙伴方面進行了兩年的試驗.
1900/1/1 0:00:00像去中心化自治組織(DAO)這樣的自治實體是獨特的,而且與美國傳統的法律實體在很大程度上是不兼容的.
1900/1/1 0:00:003月14日,頂峰AscendEX重磅上線Convex-MIMDeFi挖礦,并覆蓋PC端和App端.
1900/1/1 0:00:00倫敦,2022年2月2日——Qredo與Clearpool合作,使機構能夠安全地訪問數字資產和DeFi.
1900/1/1 0:00:00