前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
以太坊Layer2上總鎖倉量回落至87.1億美元:金色財經報道,L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量回落至87.1億美元,近7日跌4.73%。其中鎖倉量最高的為擴容方案ArbitrumOne,約58.1億美元,占比66.09%,其次是Optimism,鎖倉量16.9億美元,占比19.5%。[2023/5/15 15:02:40]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
Lido發布V2版本進度更新,取款憑證的更換準備工作已經完成:4月6日消息,Lido發布V2版本進度更新:取款憑證的更換準備工作已經完成,所有提取憑證消息已經成功簽名(從0x00憑證更換為0x01),屆時上海升級完成后,便可進行消息廣播以完成憑證的更換。據了解,取款憑證的更換和Staking Router為Lido v2的兩大重點。
另外,0x00和0x01是兩種不同的取款憑證,前者為默認取款憑證,在取款時可以無需指定取款地址;后者在取款時則需要在提現請求中指定取款地址。[2023/4/6 13:47:02]
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
Revolut獲得FCA批準可以在英國提供加密服務:金色財經報道,加密貨幣投資服務銀行 Revolut 獲??得了英國金融行為監管局 (FCA) 的注冊,可以在英國提供加密服務。這項服務于 9 月 26 日被添加到英國金融監管機構的加密資產公司注冊中。
Revolut 此前曾根據 FCA 的臨時注冊制度 (TRR) 向英國提供加密貨幣買賣和交易服務,該制度旨在允許公司在審查其申請的同時繼續運營。[2022/9/27 22:34:38]
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
Tags:FTSCOM0X0UNDfts幣總量多少Compound Basic Attention Token0x0.ai: AI Smart ContractSwiss NFT Fund
毫無疑問目前的市場正處在一個熊市的階段中,那么在經歷一輪牛市的經驗下,在熊市你該如何操作,簡單來說就是你怎么保住你本金,如何穿越牛熊?市場流行一句話,熊市中抗跌的幣種,在牛市中將大展身手.
1900/1/1 0:00:00近日,老牌加密貨幣交易平臺HotcoinGlobal正式推出了平臺HTML5(H5)版本,極大地便利了移動端用戶的交易需求.
1900/1/1 0:00:00金色財經報道,耐克公司對StockX的VaultNFT系列訴訟正在升級。根據代表耐克公司的律師事務所DLAPiperLLP已經向提交了一份文件,其中增加了一項對StockX的指控,聲稱該公司銷售.
1900/1/1 0:00:00FTX于三月時向?CFTC提案,以自動清算代替傳統經紀商,針對這項提案,昨日商品期貨產業的大咖齊聚國會展開辯論.
1900/1/1 0:00:0001.在首頁界面內點擊。02.選擇想要的挖礦項目,目前共有DeFi挖礦及云礦機。03.點擊所選的挖礦項目(此篇將以ETH挖礦為例),進入頁面,點擊。04.輸入想存入的金額,完成后點擊.
1900/1/1 0:00:00編譯:Yobo 加密資產算法做市商WintermuteCEOEvgenyGaevoy今日在Twitter上發布了一篇其寫給Wintermute團隊的公開信,全文如下:總的來說.
1900/1/1 0:00:00