千里之堤毀于蟻穴，Fortress Protocol慘遭攻擊-ODAILY_FTS

前言

北京時間2022年5月9日，知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊，這是最近實驗室檢測到的第三起預言機攻擊事件，損失包括1,048枚ETH和400,000枚DAI，共計約300W美元，目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

Binance Labs向Web3游戲平臺和發行商Xterio投資1500萬美元:7月13日消息，幣安發布公告稱，Binance Labs向Xterio投資1500萬美元，以發展其在AI和Web3方面游戲開發能力。據悉，Xterio為Web3游戲平臺和發行商，計劃利用該投資加速其孵化的游戲開發、將AI融入其技術以及發行代幣等。[2023/7/13 10:52:12]

被攻擊Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

被攻擊預言機地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

Paxos發布加密寒冬如何幫助拯救數字資產經濟白皮書:金色財經報道，數字資產公司Paxos發布《加密貨幣冬天如何幫助拯救數字資產經濟》白皮書。白皮書匯集了Paxos領導團隊和加密貨幣市場數據提供商Kaiko的內部人士的見解，《加密貨幣之冬如何幫助拯救數字資產經濟》提供了對2022年底和2023年初歷史性破壞后的加密貨幣行業的看法。

為了對數字資產領域在這一動蕩時期的過去、現在和未來提供一個全面的看法，《加密貨幣之冬如何幫助拯救數字資產經濟》深入探討了2022年加密貨幣之冬之前的幾年，FTX和Alameda Research的高調崩潰所帶來的影響，以及由此造成的2.1萬億美元的市值損失。該白皮書還研究了一些關鍵的前瞻性話題，如監管環境、加密貨幣行業的運營路徑、該行業如何與消費者、風險投資公司、機構投資者重新建立信任等。[2023/4/12 14:00:08]

攻擊者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

Ripple首席執行官：Ripple在FTX中有約1000萬美元XRP風險敞口:1月19日消息，Ripple首席執行官Brad Garlinghouse最近在達沃斯透露，這家區塊鏈支付公司曾接觸過FTX。Garlinghouse透露，Ripple向現已破產的FTX了租賃約1000萬美元的XRP。我希望通過破產程序，我們可以收回部分或全部，但這對業務來說并不太重要，其大約占流動資產的1%。

據悉，根據季度報告，Ripple定期向做市商和XRP參與者提供短期XRP租賃，用于銷售。通常，這些租約會返還給Ripple。根據Ripple關于2022年第三季度的最新季度報告，未償還租賃總額為9110萬XRP。如果交易對手未能歸還租用的XRP，目前尚不清楚有哪些保護措施。（thecryptobasic）[2023/1/19 11:20:50]

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45

CryptoPunks：CryptoPunks NFT系列知識產權協議現已生效:8月16日消息，CryptoPunks在官方推特上表示，Crypto Punks NFT系列知識產權協議現已生效，相信此協議可以給Crypto Punks持有者帶來無盡的創造力和可能性。此外，YugaLabs仍保留對此協議進行更改的權利，以保證其始終可以為社區提供最好的服務。[2022/8/16 12:28:24]

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

該項目是依舊是Compound的仿盤，但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格；

攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產，市場中的借貸池如下：

攻擊流程

1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物，提案ID為11；

2、通過調用預言機submit函數改變FTS的價格；

3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場；

4、由于市場價格對于FTS的價值計算出現問題，攻擊者使用該抵押品直接調用borrow進行借款；

借取的資產：

5、由于100個FTS沒什么價值不需要取回，而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。

總結

本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊，我們敦促所有Fork了Compound的項目方主動自查，目前已知的攻擊主要歸結于如下幾個問題：

千里之堤毀于蟻穴。從內部調用可見，本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。

Tags：FTSripplePLE加密貨幣nfts幣合約地址ripple幣幣值穩定People's Punk加密貨幣市場分析圖

Ethereum