前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
三家资产管理公司计划在香港推出加密货币期货ETF:12月6日消息,继香港表示将允许更多本地人接触数字资产后,三家资产管理公司已申请为香港的散户投资者推出交易平台交易基金(ETF),将追踪在芝商所交易投资的比特币期货和以太坊期货。
根据消息人士透露,这三家资产管理公司分别是CSOP Asset Management(南方东英资产管理有限公司)、Samsung Asset Management(三星资产管理公司)和Mirae Asset Global Investment(未来资产环球投资 (香港) 有限公司)。(asia.nikkei)[2022/12/6 21:26:07]
基础信息
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
美股三大指数集体收跌,标普500指数跌1.03%:金色财经报道,美股三大指数集体收跌,道指跌1.15%,标普500指数跌1.03%,纳指跌0.67%。[2022/10/7 18:41:22]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
Web3财务管理平台Headquarters完成500万美元融资:9月21日消息,Web3财务管理平台Headquarters宣布完成500万美元新一轮融资,Crypto.com Capital、Forge Ventures和MassMutual Ventures领投,Saison Capital、500 Startups和Longhash Ventures,以及Nansen首席执行官Alex Svanevik、Race Capital的Chris McCann和Etherscan创始人Matthew Tan等参投。
据悉,Headquarters旨在帮助企业更好地管理托管和非托管钱包中的营运资金,通过其财务运营工具减少Web3记账中的人为错误。(The Block)[2022/9/21 7:10:15]
韩国加密交易所Upbit将支持LUNA更名和空投计划:5月26日消息,据官方公告,韩国加密交易所Upbit宣布,随着LUNA项目提案的通过,Upbit将支持LUNA更名和空投计划。现有Luna (LUNA)将更名为Luna Classic (LUNC),新的LUNA代币将空投给现有的LUNA持有者。LUNC(原LUNA)的取款将于当地时间5月26日19:00起暂停。需要注意的是,Upbit支持此次空投并不保证该平台支持交易。[2022/5/26 3:43:22]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
Animoca Brands董事长Yat Siu以30ETH买入MOAR#24:金色财经消息,Animoca Brands董事长Yat Siu(钱包地址ysiu.eth)以30ETH买入MOAR#24(NFT系列\"MOAR\" by Joan Cornella)。目前链上数据显示ysiu.eth地址共持有该系列NFT 13枚。(nftevening)[2022/4/27 5:14:30]
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。