前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
金色晨讯 | 8月24日隔夜重要动态一览:21:00-7:00关键词:数字人民币、乌克兰、量子计算机
1.亚利桑那州立大学:区块链可帮助大学提供更好更安全的在线教育
2.美国食品药品监督管理局确认批准对新冠肺炎“恢复期血浆疗法”的紧急使用授权
3.量子物理学家:加密货币持有者应密切关注量子计算最新动态
4.国际新经济研究院郑磊:券商行业数字化转型契机是数字资产交易等非传统业务
5.乌克兰央行官员:CBDC需要私营部门参与才具有竞争力
6.央行相关人士:目前数字人民币试点应用场景为小额零售[2020/8/24]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
金色晚报 | 4月9日晚间重要动态一览:12:00-21:00关键词:稳定币、Reddit、EOS、爆仓、BitMEX
1. 中共中央办公厅秘书局《秘书工作》刊发区块链技术文章。
2. 法国金融市场管理局:担忧稳定币广泛采用,如有必要将禁止。
3. Reddit疑似在新版本中推出基于区块链的积分系统。
4. 安全公司:警惕EOS账号买卖中通过多签提案回收EOS账号风险。
5. 《富爸爸,穷爸爸》作者:后悔2009年没有购买BTC。
6. 加密交易员招募报告:23%的人有过10次以上爆仓经历。
7. BitMEX保险基金3月份增速较前几个月有所放缓。
8. 圆通速递与树图产业区块链合作,全面推进物流供应链数字基建。
9. 大连市税务局与航天信息股份有限公司签署区块链框架合作协议。[2020/4/9]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
金色相对论 | 孙泽宇:区块链透明可追溯等特性完美契合公益慈善领域:在本期金色相对论中,针对“您更看好区块链在哪些方面的落地?”的提问,创世资本创始合伙人孙泽宇表示:这次疫情中,群众可能更关心的是由湖北省红十字会所暴露出来的种种问题引发的慈善信任危机。而区块链的去中心化、透明可追溯的特性完美契合公益慈善领域。能够确保大家能够全程透明的看到物资的流向,提高大家对慈善的信任度与参与感,再配合上IOT,也将会对紧缺的人力有极大的帮助与改善。其他方面,除了物联网与溯源,数据安全存储跟数据共享等会是比较相对应的落地方案,对抗疫也会有很大的帮助。[2020/2/13]
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
币安已恢复Nuls(NULS)网络充值和提现业务:6月17日消息,据官方公告,继2022年1月18日Nuls(NULS)网络API节点遭到安全攻击后,币安已为Nuls(NULS)网络用户完成钱包地址更换。 现阶段,用户在币安通过Nuls(NULS)网络的充值和提现业务已恢复。[2022/6/17 4:34:36]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
标签:FTSCOMCOMPCompoundfts币怎么样Income Island TokenComposable FinanceCompound Augur
据欧易行情数据显示,北京时间5月10日早上8点左右,比特币短时跌破3万美元关键位置,最低至29735美元,24小时内跌幅逾10%.
RSS3被web3领域视为一个很有前景的项目,近期,我一直在体验web3应用,想试着去找到web3核心要素的一些定义范式,恰巧在看RSS3时,发现了我想找的一个协议,可以定义为数据规范协议.
Apr.2022,VincyDataSource:FootprintAnalytics-DeFiKingdomsDashboard随着今年年初DeFi市场的下滑.
美国联邦公开市场委员会当地时间周三公布最新利率决议,将基准利率上调50个基点至0.75%-1.00%区间,为2000年5月以来最大幅度加息,符合市场预期.
5月12日消息,据OpenSea官方博客,NFT市场OpenSea正在添加NFT查重检测和验证功能,旨在减少抄袭和虚假项目.
用「所有人都在期待末日来临」这句话形容2022年以来的市场情绪再适合不过了。因为CPI指数过热,市场一进入年初就全是加息的呼声,25个点、50个点、75个点......现在加息来了,市场崩了,人.