FTS:千里之堤毁于蚁穴，Fortress Protocol惨遭攻击

前言

北京时间2022年5月9日，知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击，这是最近实验室检测到的第三起预言机攻击事件，损失包括1,048枚ETH和400,000枚DAI，共计约300W美元，目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

Sui基金会网站已上线，并开放开发者Grant申请入口:10月25日，据官方消息，Sui基金会网站已上线，并开放开发者Grant申请入口。Sui的开发者资助金额将从1万美元至10万美元不等，并可能会给予额外的SUI代币奖励。[2022/10/25 16:38:30]

被攻击Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

被攻击预言机地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

多合一DAO工具Clique V2版本正式上线:10月25日消息，由STP推出的Verse Network宣布一站式DAO工具Clique V2版本正式上线，新版本除了对 UI进行优化外，还添加了DAO奖励 (DAO Rewards) 、治理SDK和DAO管理员的新功能。

Verse Network是一系列原生工具和基础设施，有助于用户、社区和组织进行高效的去中心化决策，以简化DAO的创建和管理。通过 Verse Network，用户可以访问一系列无代码 DAO 工具，以在一系列区块链上启动和管理他们的DAO。[2022/10/25 16:38:03]

攻击者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

摩根大通料美联储9月最后一次大幅加息:8月22日消息，摩根大通策略师表示，美联储在9月可能进行最后一次大幅加息，股市在下半年或有继续上涨的基础。以Mislav Matejka为首的策略师称，预计美联储将在9月大幅加息，但在那之后，美联储不会再有令市场意外的偏鹰动作。他们预计，经济增长与货币政策之间的平衡将得到改善，并“帮助整个市场继续复苏”。他们预计，即使投资者仍然担心美联储可能会保持鹰派立场，对利率敏感的成长股也将继续跑赢价值股。(金十)[2022/8/22 12:41:42]

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

该项目是依旧是Compound的仿盘，但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格；

攻击者通过改变FTS在协议中的价格借走了其他池子中的资产，市场中的借贷池如下：

攻击流程

1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物，提案ID为11；

2、通过调用预言机submit函数改变FTS的价格；

3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场；

4、由于市场价格对于FTS的价值计算出现问题，攻击者使用该抵押品直接调用borrow进行借款；

借取的资产：

5、由于100个FTS没什么价值不需要取回，而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。

总结

本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击，我们敦促所有Fork了Compound的项目方主动自查，目前已知的攻击主要归结于如下几个问题：

千里之堤毁于蚁穴。从内部调用可见，本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。

标签：FTSDAOCOMOMPNFTSHIBAWeird Daocomp币发行量Compound USD Coin

pepe最新价格热门资讯