前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
PEPE代币24H涨逾40%,或与Gemini在推特上发布的短片相关:金色财经报道,PEPE在过去24小时内飙升了40%以上。几个月前,该代币是加密货币领域表现最好的代币之一,几乎每天都创下历史新高。根据CoinGecko数据,PEPE的估值在昨日飙升约40%后触及一个月高位。截至撰写本文时,其市值已从6月21日的约4亿美元上升至超过6.33亿美元。推动模因币价格上涨的一个因素可能是Gemini在Twitter上发布了一段短片,其中包含PEPE的徽标和可能的登月镜头。该视频还暗示了熊市的结束,展示了BTC如何在美联储发起大规模印制法定货币等问题后取得胜利。[2023/6/22 21:54:16]
基础信息
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
数据:iearn yUSD Exploiter将5200枚ETH转入TornadoCash:金色财经报道,MetaSleuth发推称,iearn yUSD Exploiter 正在将资金转入TornadoCash ,目前有5200枚ETH已被转入 Tornado Cash,约 150 万美元的资金在0xf22开头的钱包地址中。[2023/5/26 9:44:01]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
pNetwork与Tinyman合作允许用户提供pBTC流动性来赚取ALGO:4月29日消息,多链路由协议pNetwork在推特上表示,已深化与Algorand生态自动做市商Tinyman的合作关系。现在pNetwork用户可以通过在他们的平台上提供pBTC流动性来赚取ALGO。[2023/4/29 14:34:44]
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
Celsius收到多份收购其零售平台和挖矿业务的报价,下月将宣布是否出售:金色财经报道,破产的加密货币贷款机构Celsius Network LLC周二在法庭上提交的一份报告显示,该公司已收到多份收购其零售平台和挖矿业务的报价。收购条款没有披露。Celsius律师在周二的听证会上告诉美国破产法官Martin Glenn,其中包括对零售平台、挖矿业务以及两者结合的报价。潜在买家包括30方。(彭博社)[2022/12/21 21:57:18]
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
NFT乐队KINGSHIP与玛氏合作销售限量版M&M巧克力豆:8月25日消息,环球音乐旗下的NFT乐队KINGSHIP宣布与食品巨头Mars合作,销售限量版M&M巧克力豆,并包含四位乐队成员Captain、KING、Arnell和Hud的NFT照片,其中三位是BAYCNFT,一位是MutantApe。据悉,该产品有三款,共计6000份。[2022/8/25 12:47:19]
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
头条 ▌福建发放首笔数字人民币工资金色财经报道,厦门自贸委69个在岗公务员和35个事业单位在编人员已收到了单位发放的首笔数字人民币工资。据悉,这也是福建省首个以数字人民币发放公务员和事业单位员工工资的单位.
1900/1/1 0:00:00早在90年代,加密专家NickSzabo就创造了术语“智能合约”。在一篇1997年发表的论文中,他写道,智能合约“将协议与用户界面结合,使计算机网络中的关系更正式与安全.
1900/1/1 0:00:00学会安全存储你的NFT资产,并避免遭受。原文标题:《NFT防盗指南:如何保护资产安全?》随着NFT用户数、交易量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁NFT生态的安全.
1900/1/1 0:00:00北京时间5月10日凌晨,Azuki创始人?ZAGABOND.ETH发布了一篇题为《建设者之旅》的亲笔文章,介绍了自己在NFT领域的职业履历及心路变化,同时再次强调了自己以及整个Azuki团队对于项目本身以及Web3.0发展的坚定信念.
1900/1/1 0:00:00自去年以来大热的元宇宙,将为这个世界带来怎样的变化?近日,埃森哲发布了最新的《技术展望2022》报告。报告显示,扩展现实、区块链、数字孪生和边缘计算等多种技术的发展,为塑造企业级元宇宙奠定了基础,并将改变未来十年人们的生活和企业发展.
1900/1/1 0:00:00“币圈崩了”又上热搜。近日,虚拟货币市场遭遇一场“大洗劫”。首先是有“币圈茅台”之称的LUNA币狂泻逾99%,自5月11日起,从30美元上方,跌至5月14晚间的0.0003美元左右,近乎归零.
1900/1/1 0:00:00