FTS:千里之堤毁于蚁穴 Fortress Protocol 惨遭攻击

前言

北京时间2022年5月9日，知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击，这是最近实验室检测到的第三起预言机攻击事件，损失包括1,048枚ETH和400,000枚DAI，共计约300W美元，目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

摩根大通CEO：宽松的监管并非导致近期银行业倒闭的原因:金色财经报道，摩根大通CEO戴蒙在接受采访时表示，在特朗普政府期间放松银行业监管并不是导致当前银行业危机的罪魁祸首。他表示，一些美国参议员认为银行业改革是导致硅谷银行和签名银行倒闭的一个因素，这是错误的。他们仍然有更高的流动性和资本要求，他们满足了自己的风险敞口。这不是监管改革的问题。此外他表示，摩根大通向银行提供300亿美元，以支持第一共和国银行遭到的存款挤兑，是“试图给他们时间来解决问题”，但他没有提供更多细节。戴蒙称，总的来说，应该允许银行在不产生系统性风险的情况下倒闭。他认为，美国目前的银行业危机即将结束，但监管规定的潜在变化可能会产生持久影响。[2023/4/7 13:50:40]

基础信息

被攻击Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

速汇金在移动应用推出加密货币购买和出售功能:11月1日消息，跨境支付巨头速汇金（MoneyGram）宣布推出新服务使消费者能够通过MoneyGram移动应用购买、出售和持有比特币、以太坊和莱特币。该服务是速汇金通过与Coinme的合作关系实现的，自2021年以来，MoneyGram和Coinme还合作允许消费者在美国数千个零售点用现金买卖比特币。MoneyGram表示，在全球法规允许的情况下，随着公司在2023年探索向其他市场扩张，预计将扩展加密货币选择。[2022/11/2 12:07:10]

被攻击预言机地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

攻击者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45

Yuga Labs任命Spencer Tucker担任该公司第一任首席游戏官:9月17日消息，BAYC母公司Yuga Labs宣布任命Spencer Tucker担任该公司第一任首席游戏官，他将负责监督该公司旗下所有游戏计划及互操作性元宇宙项目Otherside，推动社区增长。

据介绍，Spencer Tucker在游戏行业拥有大约二十年的从业经验，擅长游戏开发、设计、UGC、Web3和创意社区参与等领域。[2022/9/17 7:03:30]

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

该项目是依旧是Compound的仿盘，但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格；

百度超级链将推出首个可跨链数字藏品:金色财经报道，8月30日，百度超级链即将推出首个可跨链数字藏品。领取该藏品的用户可通过百度超级链操作平台资产组件，自主选择将藏品对接到其他区块链生态，实现价值流通。

跨链是区块链互联互通的关键一环。有人称跨链为Web3.0世界里的“桥”，连接不同链上的数据和资产，进行价值传递和数据可信流转。各种底链生态因为“跨链”更加去中心化，信息和数据也因为跨链更加公开透明、安全可信。[2022/8/25 12:47:49]

萨尔瓦多总统：该国的国际旅游业增加主要是由于比特币:金色财经消息，萨尔瓦多总统说该国的国际旅游业增加主要是由于比特币。[2022/8/7 12:06:52]

攻击者通过改变FTS在协议中的价格借走了其他池子中的资产，市场中的借贷池如下：

攻击流程

1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物，提案ID为11；

2、通过调用预言机submit函数改变FTS的价格；

3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场；

4、由于市场价格对于FTS的价值计算出现问题，攻击者使用该抵押品直接调用borrow进行借款；

借取的资产：

5、由于100个FTS没什么价值不需要取回，而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。

总结

本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击，我们敦促所有Fork了Compound的项目方主动自查，目前已知的攻击主要归结于如下几个问题：

千里之堤毁于蚁穴。从内部调用可见，本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。

标签：FTSCOMOMPMONNFTShiba.Financecombo币行情compound币最新消息XMON价格

USDT热门资讯