前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
数据:与Amber有关的巨鲸过去两天从币安购买295万枚ARB:金色财经报道,据Lookonchain监测显示,与Amber有关的巨鲸地址在过去两天从币安购买295万枚ARB(约386万美元),买入成本大约是1.31美元。该巨鲸将145万枚ARB(约190万美元)转入0x1eea,该地址可能是Arbitrum的一个投资者[2023/5/3 14:40:22]
基础信息
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
支付保证金的地址数破万,Captainz铸造活动实质上已结束:1月4日消息,Memeland生态第三个NFT系列Captainz已于0:00时开放铸造(铸造费为1.069 ETH),目前存入了铸造1.069 ETH保证金的地址已达到11224个,超过了该系列的最大供应量9999个,这意味着铸造活动实质上已经结束,除了Memelist等保障性地址外,后续参与的地址将无法铸得NFT。[2023/1/5 9:53:00]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
0xScope:过去14天Coinbase地址向Circle地址转账约48亿枚USDC:11月28日消息,Web3知识图谱协议0xScope在推特上表示,据其研究员Bobie研究显示,过去14天Coinbase地址通过0xd102及0x2cc5开头的中间地址向Circle地址转账约48亿枚USDC。[2022/11/28 21:07:05]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
证券代币化基础设施公司Ownera完成2000万美元融资,摩根大通参投:9月14日消息,证券代币化基础设施公司 Ownera 完成 2000 万美元 A 轮融资,参投方包括摩根大通、LRC Group、Draper Goren Holm、tokentus Investment AG、Accomplice Blockchain、Polymorphic Capital、The Ropart Group 和 Archax。
Ownera 基于开源协议 FINP2P 开发,支持任何公共或私有区块链以及传统分类账上的任何类型的证券代币化引擎。客户可以访问统一的数字证券钱包,允许用户对代币化资产进行投资、交易和借贷。[2022/9/14 13:30:05]
LG介绍将区块链技术作为其业务重点的一部分:9月3日消息,韩国电子巨头LG宣布,该公司最近放弃了其移动硬件业务,转向软件解决方案。在该公司最新的股东大会上,LG介绍了区块链技术作为其业务重点的一部分,包括开发和销售基于区块链的软件的部门作为其可能的业务扩展。
此前消息,LG宣布它正在开发一个加密货币钱包,该钱包将被称为Wallypto,将成为该公司新业务阶段的一部分,该钱包在推出时将只支持HedraHashgraph资产。Wallypto将由HedraHashgraphy区块链驱动,并将支持HTS代币。[2022/9/3 13:05:44]
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。