前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
数据:1500枚BTC从未知钱包转移到Coinbase,价值3462万美元:1月22日消息,根据WhaleAlert数据,1500枚BTC(价值(34,623,444美元)从未知钱包转移到Coinbase。[2023/1/22 11:25:41]
基础信息
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
联想集团 CES 2023 发布 Chronos 设备加码元宇宙:金色财经报道,联想集团在CES2023发布了一款可称为元宇宙“传送门”,代号为Project Chronos的概念动作捕捉设备,无须通过可穿戴设备便可完成实时动作捕捉,并复制到虚拟人物上,以实现虚拟现实的全沉浸。据悉,Project Chronos可以为消费者进入元宇宙世界提供一个操作更为简单的入口,同时可以进一步完善联想的元宇宙生态布局。目前,Project Chronos还处于概念阶段,正式的产品名称将在此后推出完整硬件和功能后揭晓。[2023/1/6 10:58:37]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
CoinShares约有11%的总净资产在FTX上,价值约3030万美元:金色财经报道,数字资产投资和交易集团CoinShares披露其对FTX的风险敞口约占其总资产净值的11%,包括约2590万美元的USDC、190枚比特币、1000枚以太坊。CoinShares首席执行官表示,资产来自其自营交易活动,公司的ETP业务不受锁定资产的影响。[2022/11/10 12:45:52]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
投资管理平台Sidekick完成330万英镑Pre Seed轮融资:金色财经报道,总部位于英国的投资管理平台Sidekick完成330万英镑(约382万美元)Pre Seed轮融资,Octopus Ventures领投,Seedcamp、Semantic、Grabyo创始人Will Neale、Gumtree的联合创始人Michael Pennington、Tandem Bank的联合创始人Ricky Knox、Credit Kudos联合创始人Freddy Kelly、Azimo联合创始人Michael Kent以及Mark Ransford参投。[2022/10/31 11:59:26]
派盾:Ronin Network攻击者已通过新地址将300枚ETH转入Tornado Cash:4月22日消息,据派盾监测,Ronin Network攻击者已经通过新地址将300枚ETH转入Tornado Cash。黑客似乎找到了绕过制裁Oracle的方法,在被标记为制裁指定地址之前转移到新地址。[2022/4/23 14:42:48]
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
标签:FTSRONCOMCOIEnvelop (Niftsy)StrongHands FinanceCOMBAsia Coin
原文作者:0xPARC 原文标题:ZKIdentity:WhyandHow(Part1)这篇文章是作为系列文章中的第一篇,介绍了为什么密码学的进步对于实现新的身份基元如此重要。在这篇文章中涵盖了“为什么”;下篇文章将解释“如何做”.
1900/1/1 0:00:00如何迈入区块链领域并开启良性的职业发展路径,是很多想要从Web2进入Web3领域的从业者面临的一个关键问题.
1900/1/1 0:00:00期待已久的合并将使以太坊从工作量证明(PoW)转变为基于权益证明(PoS)的网络。由于早期依赖GPU算力支持的PoW机制,以太坊打造了一个全球分布式的挖矿产业,到2021年将产生近190亿美元的收入.
1900/1/1 0:00:00本周概览 -加密货币市场迎来了最糟糕的半年,在下半年它又会有怎样的表现?-JaeKwon回归Cosmos,他会最终成为Cosmos的“灵魂人物”吗? 一、上周行业动态 上周五结束了2022年度的上半年.
1900/1/1 0:00:00据区块链浏览器TRONSCAN数据,过去一周,波场版稳定币日均转账额为7,422,728,436美元,突破74亿美元! 派盾:Justin Sun将1000万USDT从波场转入币安:金色财经报道,据派盾PeckShield透露.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察。本文旨在提供信息和观点,不为任何项目作背书.
1900/1/1 0:00:00