前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
孙宇晨:火必Huobi业务发展势头良好,将加快全球合规展业步伐:1月5日消息,波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨发布多条推文,孙宇晨指出,火必Huobi近期业务发展势头良好,核心指标保持了高速增长,新注册用户数与资沉流入量日均增长率超过2022年峰值,并诞生了Pi、Bonk等首发千倍币,相关币种交易量均处于行业第一,引领了多个行业热点,持续带动市场行情复苏。
孙宇晨同时表示,火必Huobi基础安全能力强大,基础设施托管于国际知名云服务器,具备容错率极高的灾备能力,核心业务数据与技术架构不依赖任何中心化人力,十年无安全事故的行业最好安全记录,用户的资产安全将始终得到充分保护。
孙宇晨最后指出,火必Huobi将坚持和加快全球合规展业步伐,在每个合规展业地区,都会根据当地的法规政策来保障从业者的合法权益,充分尊重当地员工的合法诉求,并为优秀人才持续提供具有行业竞争力的激励和待遇。[2023/1/5 10:23:36]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
Web3 Graph获得Huobi Incubator种子轮投资,并成功入选孵化器:4月28日消息,Web3.0数据图谱基础设施项目Web3 Graph宣布获得Huobi Incubator种子轮投资,并成功入选孵化器。据了解,Web3 Graph是下一代基于事件的开放图谱协议,旨在成为Web3.0项目的全新数据图谱基础设施。[2022/4/29 2:40:22]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
Huobi已发放 9600 MASK首日充值奖励:据官方消息,3月4日 Huobi Global 已发放9600 MASK的首日充值活动奖励,平均充值100个MASK 可得 0.839个MASK奖励,首日充值奖励率达0.839%。
据悉,Huobi Global“全球观察区”于2月24日上线 MASK 并开放 MASK 的充币业务,MASK开放充值当日,从外部地址向平台成功充值MASK的用户,将按照净充值数量瓜分总计9600 MASK奖励。后续 MASK 充值、交易、持仓奖励在陆续发放中。[2021/3/4 18:15:11]
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。