前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
Damus開發者:將上線關鍵字過濾功能,解決機器人垃圾郵件攻擊問題:2月2日消息,去中心化社交協議 Nostr 核心開發者 William Casarin 在推特評論回復稱,針對 Damus 近期出現的機器人垃圾郵件攻擊問題,將上線關鍵字過濾功能。[2023/2/2 11:43:45]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
Connext已完成網絡升級計劃Amarok,未來幾周將推出Beta版本:10月31日消息,Layer2互操作性協議Connext已完成網絡升級計劃Amarok,允許開發人員構建xchain應用程序,并在每條鏈上提供安全的基礎設施。Connext計劃在未來幾周內推出Beta版本。[2022/10/31 12:00:06]
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
報告:加密行業最具潛力的項目包括Cosmos、Maple Finance等:8月15日消息,根據群體博客The Generalist發布的報告,投資者、運營者和創始人應該了解的加密趨勢如下:
-Cosmos發展加速。盡管與其他生態系統相比,它受到的關注要少得多,但投資者在Cosmos中看到機會。“區塊鏈互聯網”提供啟動可互操作區塊鏈的工具,并且可能比更大的替代方案更加去中心化、更有彈性和可定制性。交易平臺dYdX從以太坊轉向Cosmos表明了后者的優勢。
-機構貸款開始興起。個人用戶可能已經使用DeFi的第一批借貸產品,但最近的產品面向企業客戶。Maple Finance等項目為機構級貸款池提供必要的信息和合規保障。
-重新思考用戶身份驗證。Web3應用程序仍然很難使用。消費者使用不鏈接到其他身份形式的加密錢包登錄。這不僅使消費者的使用流程變得復雜,而且還阻礙開發人員與其客戶交流。Notifi和Portabl正在從不同的角度解決這個問題。
-需要解決加密漏洞。今年已經發生多起加密貨幣漏洞事件,包括猖獗的欺詐、中斷和違規行為。投資者意識到該領域的缺陷,并支持尋求改善現狀的項目。例如Blowfish,它使復雜的交易變得可讀。 ?
-Web3的社交時刻可能即將到來。一段時間以來,預言家認為加密貨幣將顛覆社交媒體。到目前為止,幾乎沒有什么可以支持這樣的預測,但是情況可能正在改變。投資者看到Farcaster等項目的前景。[2022/8/15 12:25:49]
漏洞分析
趙長鵬:“幣安實施KYC導致流失90%客戶”完全是錯誤的引用:8月1日消息,加密貨幣交易平臺 Binance 首席執行官 CZ 針對此前第三方媒體引用關于“Binance 實施 KYC 導致流失 90% 客戶,收入損失數十億美元”的報道回復稱,“這完全是錯誤的引用。但事實是,這類標題的點擊率更高。”[2022/8/2 2:52:06]
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
感謝DAOrayaki社區貢獻者DAOctor、Will、Younes、Yofu、Herry及DoraFactoryEricZhang討論及反饋.
1900/1/1 0:00:002021年,據Nonfungible統計顯示,全球NFT交易規模已經達到176億美元,相比前一年的8200萬美元,瘋狂上漲超過200倍.
1900/1/1 0:00:00互聯網的歷史 Web2.0在信息消費和內容創建等方面貢獻了無與倫比的經濟增長,代表了人類進化的重要時代,新的工作方式、消費者信息和人類文明的進步;而Web3.0被譽為由創造者經濟推動的技術范式.
1900/1/1 0:00:004月22日,頂峰AscendEX同時上線五款熱門幣種的Staking質押方案,包括雪崩協議Avalanche、現象級鏈游AxieInfinity、高性能公鏈Fantom、Layer2擴展方案Po.
1900/1/1 0:00:00前言 北京時間2022年3月22日,知道創宇區塊鏈安全實驗室監測到Fantom生態穩定幣收益優化器OneRingFinance遭到閃電貸攻擊,黑客竊取逾145萬美元.
1900/1/1 0:00:00鏈上數據:30分鐘內火幣地址向Bitfinex轉賬約1億USDT鏈聞消息,據WhaleAlert顯示.
1900/1/1 0:00:00