Chain:预言机变成链上「套利」专用工具？Fortress Loans「被薅羊毛」攻击事件分析-ODAILY

北京时间2022年5月9日凌晨4:34:42，CertiK安全技术团队监测到FortressLoans遭到攻击。

北京时间5月9日上午10:05，JetFuelFinance也正式确认了关于预言机操纵的消息，并发布了可疑地址和交易的链接：

目前该项目损失约1,048.1ETH和400,000DAI。攻击者通过DAO和预言机操纵来盗取资产以完成本次攻击，并通过TornadoCash将被盗资产转出。

Pyth Network与Kaiko联合发布Pyth流动性预言机:2月23日消息，跨链金融预言机Pyth Network宣布与机构级数据机构Kaiko共同推出Pyth流动性预言机V1，专注解决目前DeFi市场的流动性攻击问题。[2023/2/23 12:24:57]

漏洞交易

https://bscscan.com/tx/0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

相关地址

攻击者地址：https://bscscan.com/address/0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

攻击者合约：

Chainlink专项支持Protofire项目将Chainlink预言机集成到IoTeX主网:据官方消息，近日，ChainlinK赞助Protofire 开发团队一笔开发资金，专项支持Protofire项目将 Chainlink 预言机集成到 IoTeX主网，助力IoTeX即将上线的机器金融#MachineFi。

借助 Chainlink 的去中心化预言机技术，IoTeX 开发人员将能够构建更高阶的混合智能合约应用程序，这些应用程序可以访问现实世界的数据和链下计算。 很快，开发人员将能够使用 Chainlink Price Feeds 保护 DeFi 产品，使用来自 Chainlink VRF 的安全随机数生成器 (RNG) 构建区块链游戏应用程序，并通过Chainlink Keepers 使用链外输入自动化智能合约。

IoTeX作为硅谷开源项目成立于2017年，以链接现实世界和数字世界为愿景，是与以太坊全兼容的高性能公有区块链。[2021/11/6 6:35:09]

https://bscscan.com/address/0xcd337b920678cf35143322ab31ab8977c3463a45

Ahmed Ebrahim：ADAMoracle预言机网络将于9月13日开启公测:在今日举行的《金色百家谈 | ADAMoracle全新广域节点喂价机制，能否打开预言机3.0时代的闸门?》直播中，针对“ADAMoracle的项目进展如何？接下来有哪些规划与布局？”的提问，ADAMoracle 联合创始人兼CEO Ahmed Ebrahim指出：ADAMoracle预言机正处于上线筹备期，近期将有诸多动作。2021年9月13日，ADAMoracle广域节点网络将正式开启公测。

目前，ADAMoracle已获得了Polygon、KINE Network、Collinstar、Chain Capital、 Consensus Lab、BTX Capital、ZB Labs 、Chainup Capital、7o'clock Capital 、红链资本等机构战略投资。[2021/9/6 23:04:25]

被攻击的预言机相关合约：https://bscscan.com/address/0xc11b687cd6061a6516e23769e4657b6efa25d

Chainlink联合创始人：Chainlink以及从预言机获取喂价的DeFi合约均未受到影响:去中心化预言机Chainlink联合创始人SergeyNazarov针对Compound大规模清算事件回应称，一年前就预测到会发生这样的攻击，在多个公开会议上提到了这个攻击向量，并公开劝告了开发者社区。在这次攻击中，Chainlink网络由于在节点和数据源层面都实现了高度的去中心化，因此没有受到任何影响，并持续为资产返回准确的全球市场价格。这次事件中，即使Gas价格居高不下，从Chainlink预言机网络获取喂价的DeFi智能合约也没有受到任何影响，仍然获取到准确的价格数据，保证协议正常运行。过去一个月中发生了多次预言机攻击事件，智能合约开发者必须关注预言机的安全问题。接入中心化预言机的DeFi协议往往只依靠一家或少数几家链下或去中心化交易所获取价格数据，因此用户资金面临巨大风险。相信这类攻击事件会让越来越多的用户都转移到接入去中心化预言机的DeFi协议，以保证预言机的安全性和可验证性，这就像现在的用户对链下交易所的私钥安全性更敏感了。[2020/11/27 22:18:16]

攻击步骤

Opyn由于Maker停止V1版本预言机组件导致用户无法行权:9月7日消息，链上期权协议Opyn表示由于Maker停止了V1版本的预言机中值器（Medianizer），所以Opyn的保险代币oToken的功能将暂停，但是官方称用户的资金没有任何风险。Opyn的保险期权使用Compound的V1版本价格预言机获得ETH价格，而背后也是调用的Maker的V1版本的预言机中值器。Opyn表示目前受到的影响是，对于oToken的卖家，只能在期权到期后移除抵押品；对于oToken的买家，将无法正常行权，但仍可以出售期权。Opyn正在和Maker团队合作，让Maker的V1版本中值器恢复并继续运行。（Medium）[2020/9/7]

①攻击者从TornadoCash收到ETH，并用收到的部分ETH购买FTS代币用于投票和抵押。

②然后，攻击者提交了一个提案，改变贷款合约中FTS代币的抵押系数。

③攻击者使用购买的FTS代币对其提案投了赞成票。因为Fortressloans的治理合同的法定票数是400,000FTS——小于攻击者持有的金额，所以该提案被通过。

④同时，攻击者将FTS存入贷款合约作为抵押品。

⑤提案通过后，攻击者执行提案，将FTS的抵押系数从0更新到70000000000000，以便在后续步骤中利用其获利。

⑥此外，攻击者通过预言机相关chain合约中的非限制性函数`submit()`更新了贷款合约使用的价格预言机，该函数缺少对签名的有效验证，因此该更新会被成功执行。

⑦通过更新，攻击者的抵押品的价值被大幅提高，所以攻击者能够从贷款合约中借到大量的其他代币。

⑧攻击者将借来的代币转换为ETH和DAI，并将其存入TornadoCash。

合约漏洞分析

漏洞①

第一个漏洞是治理合约的一个设计缺陷。

治理合约可以执行成功提案，以修改借贷相关的配置。然而，要成功执行提案，投票所需的最低FTS代币是40万。由于FTS代币的价格很低，攻击者仅用大约11个ETH就交换了超过40万个FTS代币。

有了这些FTS代币，攻击者可以随意创建一个恶意提案并成功执行。

漏洞②

第二个漏洞是chain合约用以更新价格的“submit”系数有一个缺陷——允许任何人更新价格。

L142中的必要语句被注释掉了。因此该合约在更新价格时并未验证该调用已收集到足够的签名。

资产去向

78万+228万USDT在两次攻击交易后被转移到攻击者地址。

230万USDT被发送到EthereumtoanySwap(Multichain)。

77万USDT通过cBridge(CelerNetwork)发送到以太坊。

所有的USDT通过Unswap兑换成ETH和DAI，并发送至TornadoCash。

时间线

北京时间5月9日凌晨00:30左右，Fortress的代币价格暴跌。很快项目团队即在telegram中说明：项目出了一些问题，目前正在调查中。

但这次攻击可能开始得比我们想象中更早。

攻击者第一次开始「试探」是在北京时间4月20日凌晨1:41:59，他们部署了一个未验证的合约。在"踩点"之后接下来的几周里，攻击者持续通过一系列的交易与Fortress进行交互，并部署未经验证的合约，这一行为直到此次攻击事件的前几天才消停。

攻击者部署了合约后，他们又启动了一系列的交易——允许他们创建和资助一个外部拥有的地址，向FortressGovernorAlpha合约提出恶意提案并自己进行投票，随后将FTS代币的抵押品设置得极高，使得FTS价值增加，用其借取大量其他代币，然后换成ETH和DAI。

攻击合约在完成攻击后已自毁，目前资金在通过cBridge(CelerNetwork)桥和Multichain交换桥后被转移到以太坊链，并在一系列后续交易中被发送到TornadoCash。

写在最后

本次攻击事件本应通过安全审计来有效地避免。

针对漏洞①，由于治理代币的价格和有多少代币在流通是未知的，因此发现这个风险并不容易，但可以通过一定的风险发现来警告潜在的相关攻击行为。

针对漏洞②，审计可以发现关键验证的缺失，避免任何人都有可能通过提交功能来操纵价格。

预言机操纵造成的攻击并非仅此一例，日前CertiK发布的受盗资金更为庞大。

加密领域安全风险层出不穷，项目团队应尽可能提高相关警惕并时刻关注安全事件以自查，并及时完善和审计合约代码。

标签：CHAAINHAIChaineXPerience ChainBidao Smart ChainTransferChainHitChain

Gate.io热门资讯