UMB:预言机变成链上「套利」专用工具？Fortress Loans「被薅羊毛」攻击事件分析

北京时间2022年5月9日凌晨4:34:42，CertiK安全技术团队监测到FortressLoans遭到攻击。

北京时间5月9日上午10:05，JetFuelFinance也正式确认了关于预言机操纵的消息，并发布了可疑地址和交易的链接：

目前该项目损失约1,048.1?ETH和400,000DAI。攻击者通过DAO和预言机操纵来盗取资产以完成本次攻击，并通过TornadoCash将被盗资产转出。

相关地址

攻击者地址：https://bscscan.com/address/0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

预言机Chainlink已在以太坊上集成AAVE/ETH喂价:6月4日消息，预言机 Chainlink 已在以太坊上集成 AAVE/ETH 喂价，目前喂价为 0.033559392。[2023/6/4 11:56:54]

攻击者合约：

https://bscscan.com/address/0xcd337b920678cf35143322ab31ab8977c3463a45

被攻击的预言机相关合约：https://bscscan.com/address/0xc11b687cd6061a6516e23769e4657b6efa25d

Blizz Finance由于LUNA预言机暂停，协议资产遭攻击者耗尽:5月13日消息，Avalanche 借贷协议 Blizz Finance 发推表示，由于 Chainlink 暂停 LUNA 预言机，从而允许几个攻击者存入数百万个 LUNA，并根据 Chainlink 预言机按照 0.1 美元的价格借用所有抵押品。由于时间锁机制，在团队暂停之前，协议资产已经耗尽。[2022/5/13 3:12:48]

④同时，攻击者将FTS存入贷款合约作为抵押品。

⑤提案通过后，攻击者执行提案，将FTS的抵押系数从0更新到70000000000000，以便在后续步骤中利用其获利。

ENS发起关于TNL报销、指数价格预言机和SIWE服务器的社区提案投票:3月22日消息，以太坊域名服务ENS发起EP8（TNL报销）、EP9（指数价格预言机）和EP10（SIWE服务器）3个社区提案投票。[2022/3/22 14:10:36]

⑥此外，攻击者通过预言机相关chain合约中的非限制性函数`submit()`更新了贷款合约使用的价格预言机，该函数缺少对签名的有效验证，因此该更新会被成功执行。

⑦通过更新，攻击者的抵押品的价值被大幅提高，所以攻击者能够从贷款合约中借到大量的其他代币。

⑧攻击者将借来的代币转换为ETH和DAI，并将其存入TornadoCash。

DeFi预言机Umbrella：Chainswap黑客窃取超300万枚UMB代币，将回购价值110 ETH的UMB代币:官方消息，DeFi预言机Umbrella Network表示，跨链资产桥Chainswap今天遭到黑客攻击，许多与其合作在以太坊和币安智能链之间连接代币的项目都受到了影响，窃取10多个项目的代币，包括Umbrella Network、Antimatter、Dafi、Option Room、Blank、Razor、Oro等。黑客在以太坊网络从Chainswap资金库窃取所有超300万枚UMB代币。黑客很可能已经出售了所有UMB代币。作为预防措施，Chainswap已在BSC上冻结了Umbrella的UMB代币。BSC上的UMB不能在Pancakeswap上交换或转移到其他钱包。

为了抵消黑客向市场出售的额外UMB，Umbrella将在以太坊上回购价值110 ETH的UMB，这是黑客从中获利的金额，将把价值110 ETH的UMB保存在一个公开披露的钱包中，并作为一个社区来决定如何处理它。一种可能的选择是捐赠给社区选择的一个或多个慈善机构。此外，Umbrella表示，将在不久的将来推出自己的资产桥，用于跨ETH-BSC以及其他未来支持的链。[2021/7/11 0:43:11]

漏洞①

第一个漏洞是治理合约的一个设计缺陷。

治理合约可以执行成功提案，以修改借贷相关的配置。然而，要成功执行提案，投票所需的最低FTS代币是40万。由于FTS代币的价格很低，攻击者仅用大约11个ETH就交换了超过40万个FTS代币。

有了这些FTS代币，攻击者可以随意创建一个恶意提案并成功执行。

漏洞②

第二个漏洞是chain合约用以更新价格的“submit”系数有一个缺陷——允许任何人更新价格。

L142中的必要语句被注释掉了。因此该合约在更新价格时并未验证该调用已收集到足够的签名。

USDT在两次攻击交易后被转移到攻击者地址。

230万USDT被发送到EthereumtoanySwap(Multichain)。

77万USDT通过cBridge(CelerNetwork)发送到以太坊。

所有的USDT通过Unswap兑换成ETH和DAI，并发送至TornadoCash。

北京时间5月9日凌晨00:30左右，Fortress的代币价格暴跌。很快项目团队即在telegram中说明：项目出了一些问题，目前正在调查中。

但这次攻击可能开始得比我们想象中更早。

攻击者第一次开始「试探」是在北京时间4月20日凌晨1:41:59，他们部署了一个未验证的合约。在?"踩点"之后接下来的几周里，攻击者持续通过一系列的交易与Fortress进行交互，并部署未经验证的合约，这一行为直到此次攻击事件的前几天才消停。

攻击者部署了合约后，他们又启动了一系列的交易——允许他们创建和资助一个外部拥有的地址，向FortressGovernorAlpha合约提出恶意提案并自己进行投票，随后将FTS代币的抵押品设置得极高，使得FTS价值增加，用其借取大量其他代币，然后换成ETH和DAI。

攻击合约在完成攻击后已自毁，目前资金在通过cBridge(CelerNetwork)桥和Multichain交换桥后被转移到以太坊链，并在一系列后续交易中被发送到Tornado?Cash。

写在最后

本次攻击事件本应通过安全审计来有效地避免。

针对漏洞①，由于治理代币的价格和有多少代币在流通是未知的，因此发现这个风险并不容易，但可以通过一定的风险发现来警告潜在的相关攻击行为。

针对漏洞②，审计可以发现关键验证的缺失，避免任何人都有可能通过提交功能来操纵价格。

预言机操纵造成的攻击并非仅此一例，日前CertiK发布的受盗资金更为庞大。

加密领域安全风险层出不穷，项目团队应尽可能提高相关警惕并时刻关注安全事件以自查，并及时完善和审计合约代码。

标签：UMBChainHAIETHBUMBLE价格MOS ChainDeFiChaineth官网中文版

PEPE热门资讯