前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
阿里云Web3解决方案部负责人:阿里云可为Web3企业提供可定制的云服务解决方案:4月12日消息,在2023香港Web3嘉年华分会场二的的“阿里云如何支持你的Web3之旅?”活动上,阿里云香港架构总监兼Web3解决方案部负责人潘家和表示,阿里云可为Web3企业提供可定制的云服务解决方案,目前已有虚拟资产企业使用了阿里云的公有云、私有云等服务,并且阿里云有扎实的Web2建设经验,有信心支撑Web3领域不同平台,不仅能帮助Web3行业完善基础设施,还将为Web3企业提供咨询服务,帮助Web3企业构建安全的云架构,指导开发智能合约。同时,阿里云有完善的存储和监管网络可为Web3企业提供更安全的服务。[2023/4/12 13:59:07]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
Valkyrie再次向美SEC提交比特币现货ETF申请:金色财经报道,加密货币基金公司Valkyrie 于6月21日向美国证券交易委员会提交了一份比特币现货 ETF的 S-1 登记表?。该公司在其中表示,它将寻求在纳斯达克上市其基金,代码为 BRRR。[2023/6/22 21:53:37]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
Web3全媒体公司WSI完成“6位数”融资:2月20日消息,新加坡Web3全媒体公司Wonder Strategic International(WSI)宣布完成新一轮融资,AOR Global、TNF Ventures和Cryphus Capital领投。本轮融资具体金额虽未公开,但据称达到“6位数”。
WSI主要提供内容、媒体、Web3等领域的全媒体服务。除了发展基于IP的Web3社区外,该公司还宣布推出由Xctuality支持的元宇宙“Paradise Metaworld”,未来也将拓展元宇宙商务等创新渠道。(Luxuo)[2023/2/20 12:17:53]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
马斯克:Web69的想法不错:金色财经报道,前 Twitter 首席执行官 Jack Dorsey 近日宣布推出“Web5”,他试图在比特币网络上构建 Web 组件并专注于身份而非 Token 化支付,同时解决现实个人数据保护问题,确保不会将这些数据出售给第三方,该项目旨在将去中心化身份和数据存储带入 Web 应用程序,同时将数据所有权归还给用户。
此消息发布后,一位名叫“Wandrinstar”的狗狗币社区用户在社交媒体上称:“如果Jack Dorsey 和比特币可以创建 Web5,那么狗狗币也可以创建 Web69。” 这条推文立刻引起了 Jack Dorsey 的注意,他在回复中 @ 了 Elon Musk 并表示“靠你搞定 Web69 了”,马斯克回复称“Web69 的想法会很热门”。[2022/6/12 4:20:04]
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。