北京时间 2022 年 5 月 9 日,知道创宇区块链安全实验室监测到 BSC 链上借贷协议 Fortress Protocol 因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括 1,048 枚 ETH 和 400,000 枚 DAI,共计约300W 美元,目前已使用 AnySwap 和 Celer 跨链到以太坊利用 Tornado 进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
NFT估值协议Abacus宣布关闭,建议用户及时取回资产:6月13日消息,NFT估值协议Abacus发布公告称,考虑到内外部存在的某些困难,无法达成实现盈利并发布Token的财务规模,因此项目决定结束运营。
Abacus团队表示,将再保留Discord几日,并慢慢开始关闭频道。如果用户在Abacus中有任何资金或资产,建议将其取出,因为Abacus前端也将在接下来的一周内关闭。[2023/6/13 21:33:37]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
Moonbeam社区拨款委员会公布第一批生态系统补助金快照投票结果:3月26日消息,波卡生态智能合约平台Moonbeam在推特上表示,社区拨款委员会公布了修订后的GLMR第一批生态系统补助金申请结果,并对修改部分作出了解释。现在,快照投票已经完成,社区有机会表明他们希望如何分配第一批生态系统补助金,链上投票已经准备完毕。拨款委员会作出了以下调整:任何提案如果收到的GLMR价值低于25万美元(基于“修订后拨款计划”通过之日起的7天TWAP),将不会被纳入链上投票。
修订后拨款计划于3月7日通过,7天TWAP当时是0.41美元。根据这一数字,纳入投票的门槛为609756 GLMR,即13.55%的投票率。[2023/3/26 13:27:24]
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
美国SEC取消了限制PFOF交易的计划,Robinhood股价开盘上涨9%:金色财经报道,在有消息称美国证券交易委员会 (SEC) 不会限制其进行按订单付款 (PFOF) 交易后,Robinhood 股价周四开盘飙升。Robinhood上涨9.3%,开盘价为10.92美元,高于周三收盘时的 9.92 美元。[2022/9/22 7:14:55]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
比特币和以太坊的证券产品规模超111亿美元,较前日涨幅110.69%:8月9日消息,据欧科云链 OKLink多链浏览器显示,当前市场上各类比特币和以太坊的证券产品总市值已经达到111.17 亿美元,较前日涨幅110.69%。其中比特币证券产品市值共计52.12亿美元,占当前比特币市值的1.14%;以太坊证券产品市值共计59.04亿美元,占以太坊市值的2.78%。[2022/8/9 12:12:19]
该项目是依旧是 Compound 的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的 power 便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变 FTS 在协议中的价格借走了其他池子中的 资产,市场中的借贷池如下:
1、攻击者购买了 FTS 代币并通过提案投票支持添加 FTS 作为抵押物,提案 ID为 11;
2、通过调用预言机 submit 函数改变 FTS 的价格;
3、攻击者使用 100 个 FTS 作为抵押物调用 enterMarket 进入市场;
4、由于市场价格对于 FTS 的价值计算出现问题,攻击者使用该抵押品直接调用 borrow 进行借款;
借取的资产:
5、由于 100 个 FTS 没什么价值不需要取回,而攻击者后续仍将其他用于第一步的 FTS 还在 Pancake 兑换进行了彻底的套现。
本次攻击原因是 Compound 仿盘在预言机使用时出现了问题。近期大量Compound 仿盘项目被攻击,我们敦促所有 Fork 了 Compound 的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用 getAllMarkets 依次遍历拿取了全部市场的底层资产并将 FTS 彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。