前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
Poolz Finance新代币POOLX将于23:00上线,总供应量较POOLZ增加10%:3月30日消息,IDO 平台 Poolz Finance 发布了有关其新代币 POOLX 的部署和分发的信息,在 3 月 15 日攻击事件之前持有原始 POOLZ 代币的人将以 1:1 的比例获得新代币,并且没有锁仓期。新代币 POOLX 的总供应量将比 POOLZ 的总供应量增加 10%,POOLX 将于 3 月 30 日 23:00 在 Poloniex、Huobi 和 PancakSwap 上线。[2023/3/31 13:36:21]
基础信息
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
俄安全会议副主席:如乌攻击俄领土,俄将快速有力回击:2月4日消息,当地时间4日,俄罗斯安全会议副主席梅德韦杰夫表示,如果乌克兰对俄罗斯领土发动攻击,俄方将利用所有武器装备,采取一切可能的回应措施,且俄方的回击将是快速、严厉、有力的。(俄新社)[2023/2/4 11:47:28]
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
ING前数字资产主管加入Investcorp领导其首个区块链基金:9月7日消息,数字银行ING的前数字资产主管Hervé Fran?ois宣布已加入另类资产管理公司Investcorp,以领导其首个区块链基金eLydian Lion ,Fran?ois的任务是与涉及去DeFi、NFT、P2E、元宇宙、区块链基础设施、互操作性、扩展解决方案等领域的早期初创公司合作以及向Web3的过渡。(Block Works)[2022/9/7 13:13:18]
Huobi创始人正在以30亿美元估值出售其在火币的股份:金色财经消息,Huobi集团创始人李林正在与一批投资者谈判,希望以30亿美元的估值出售其在火币大约60%股份,据知情人士透露,Tron创始人孙宇晨和FTX交易所已经与Huobi就股份转让进行初步接触,他们要求匿名讨论私人信息。包括真格基金和红杉中国在内的股东在7月的股东大会上了解到李林的决定。一位知情人士透露,交易可能最快在本月底完成。目前尚不清楚收购是否可能涉及在香港上市的火币科技控股有限公司。(彭博社)[2022/8/12 12:21:03]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
数据:周五XRP网络交易活动激增:金色财经消息,链上分析平台Santiment数据显示,周五XRP网络交易活动显著激增,交易量达到187亿枚。
昨天,XRP网络上的鲸鱼活动大幅增加。一个著名的加密地址将价值超过1660万美元的5000万枚XRP从一个未知的钱包转移至Bitstamp。在周五的另一笔鲸鱼交易中,4000万枚XRP从一个未知钱包转移至Bitso。这笔交易的总价值为1300万美元。总的来说,7月15日XRP网络异常活跃。(Finance Magnates)[2022/7/16 2:17:58]
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
随着加密货币市场继续失守,其总市值已经跌至1.4万亿美元,与此同时,比特币的价格也触及3万美元的关口,CoinShares和Glassnode的区块链分析师发现了投资者活动的有趣组合.
1900/1/1 0:00:00一、行业头条:全球政策:1.1印度商品和服务税委员会,考虑对加密相关服务及活动征收28%的税。1.2欧盟计划启动DeFi生态监管规则试点项目.
1900/1/1 0:00:00摘要:近期,虚拟货币市场迎来暴跌,市值曾经排名第三的露娜因被做空,价格已经无限归零,其余各类主流虚拟货币都有着较大的波动,于是又一批茁长生长的韭菜开始冒头.
1900/1/1 0:00:00继互联网大厂、各一线品牌纷纷入局元宇宙后,字节也于近日正式进军这个千亿级别的新市场。4月25日,抖音悄悄开展了一项新业务业务——沸寂,该社区致力于「数字时尚」领域的探索.
1900/1/1 0:00:00坏消息继续占据着加密媒体的头条,5月12日最引人注目的新闻是Terra生态系统的意外崩溃。除了股市疲软外,拥有区块链初创公司和加密货币挖矿敞口的上市公司也经历了股票的大幅下跌.
1900/1/1 0:00:00国内数字藏品市场的兴起始于2021年元宇宙概念的爆发,这一年大厂纷纷下场试水,2021年6月蚂蚁集团推出了数藏平台鲸探.
1900/1/1 0:00:00