北京时间 2022 年 5 月 9 日,知道创宇区块链安全实验室监测到 BSC 链上借贷协议 Fortress Protocol 因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括 1,048 枚 ETH 和 400,000 枚 DAI,共计约300W 美元,目前已使用 AnySwap 和 Celer 跨链到以太坊利用 Tornado 进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
1,873枚比特币从未知钱包转移到Coinbase:金色财经报道,WhaleAlert数据显示,1,873枚比特币(56,640,515美元)从未知钱包转移到Coinbase。[2023/7/15 10:56:25]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
Gearbox社区发起的550万美元DAO战略融资提案已获得通过:7月5日消息,DeFi可组合性杠杆协议Gearbox发起的进行 550 万美元 DAO 战略融资提案以 99.49% 的支持率获得通过。此前报道,Gearbox 社区发起以 1.5 亿美元完全稀释估值进行 550 万美元 DAO 战略融资的提案,目前计划进行投资的机构包括 Placeholder、A.Capital Ventures、Galaxy Digital、Zee Prime Capital、Polymorphic Capital、LedgerPrime、Global Coin Research,承诺的投资金额已达 565 万美元。[2022/7/5 1:52:40]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
Galaxy Digital创始人:加密市场相对股市而言更接近底部:6月14日消息,Galaxy Digital HoldingsLtd.创始人兼首席执行官Mike Novogratz在摩根士丹利会议上发言表示:以太坊应该保持在1,000美元左右,现在是1,200美元。比特币大概在20,000美元至23,000美元区间,我认为加密市场比美国股市更接近底部,股票将再下跌15%到20%。
Mike Novogratz补充表示:我认为现在还不到真正大规模部署资本的时候。我需要看到美联储退缩,经济糟糕到美联储不得不停止加息,甚至考虑降息的时候(再行动)。[2022/6/14 4:26:36]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
中国探月工程联合小度将推出嫦娥三号-月球车数字藏品:6月13日消息,中国探月工程联合小度将推出嫦娥三号·月球车数字藏品。该藏品由小度通过高精度1:1复刻月球车玉兔号生成,精准还原了玉兔号月球车的全景相机、太阳翼、机械臂、通讯天线、雷达等重要结构。据悉,4800份嫦娥三号-月球车数字藏品将于6月15日14点,在小度寻宇开售。[2022/6/13 4:22:38]
该项目是依旧是 Compound 的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的 power 便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变 FTS 在协议中的价格借走了其他池子中的 资产,市场中的借贷池如下:
1、攻击者购买了 FTS 代币并通过提案投票支持添加 FTS 作为抵押物,提案 ID为 11;
2、通过调用预言机 submit 函数改变 FTS 的价格;
3、攻击者使用 100 个 FTS 作为抵押物调用 enterMarket 进入市场;
4、由于市场价格对于 FTS 的价值计算出现问题,攻击者使用该抵押品直接调用 borrow 进行借款;
借取的资产:
5、由于 100 个 FTS 没什么价值不需要取回,而攻击者后续仍将其他用于第一步的 FTS 还在 Pancake 兑换进行了彻底的套现。
本次攻击原因是 Compound 仿盘在预言机使用时出现了问题。近期大量Compound 仿盘项目被攻击,我们敦促所有 Fork 了 Compound 的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用 getAllMarkets 依次遍历拿取了全部市场的底层资产并将 FTS 彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。