預言機變成鏈上「套利」專用工具？Fortress Loans「被薅羊毛」攻擊事件分析-ODAILY_FTS

北京時間2022年5月9日凌晨4:34:42，CertiK安全技術團隊監測到FortressLoans遭到攻擊。

北京時間5月9日上午10:05，JetFuelFinance也正式確認了關于預言機操縱的消息，并發布了可疑地址和交易的鏈接：

目前該項目損失約1,048.1ETH和400,000DAI。攻擊者通過DAO和預言機操縱來盜取資產以完成本次攻擊，并通過TornadoCash將被盜資產轉出。

Tender.fi預言機配置錯誤導致一白帽僅存1枚GMX就借入159萬美元資產:3月7日消息，據Lookonchain分析，由于Tender.fi的預言機配置有誤，白帽0x896d開頭地址僅存入1枚GMX（71美元）就借入了約159萬美元的資產。[2023/3/7 12:47:27]

漏洞交易

https://bscscan.com/tx/0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

相關地址

攻擊者地址：https://bscscan.com/address/0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

波場第一個官方預言機項目JustLink宣布超級節點:據官方最新消息，波場第一個官方預言機項目JustLink已經宣布超級節點，分別是JustSwap、Poloniex、Polonidex、TronLink、Bitorrent、Utorrent。據悉，通過成為超級節點，將被集成到JustLink SLA系統中，以監視節點的信譽，超級節點也將獲得更多關注和獎勵。 JUST基金會已于2020年10月30日正式上線去中心化預言機項目JustLink。JustLink是運行在波場TRON網絡上的第一個官方去中心化預言機項目，作用就是以最安全的方式向鏈上的智能合約提供現實世界中產生的真實數據，包括比如借貸價格、穩定幣匯率、金融衍生品價格、預測市場數據等。[2020/11/2 11:24:53]

攻擊者合約：

BKEX Capital宣布戰略投資預言機項目Vera Protocol:據官方消息，BKEX Capital（幣客資本）宣布戰略投資預言機項目Vera Protocol，同時幣客資本將幫助Vera推動中國區資源的對接。

VERA是一個區塊鏈應用程序協議，利用預言機支持分散式的對等交換物理消費品，從而形成DeFi生態，如同去中心化的淘寶與支付寶。團隊由Plug and Play孵化，普路通（Prolto Supply Chain Management）、阿弗艾德（Rfid and Card Technology）、Fliqs media、CyberOi等機構和上市公司組成強大的并不斷擴張的生態系統。

BKEX Capital隸屬必客集團，是集團旗下唯一一支涵蓋投資、孵化的數字貨幣基金，業務包括區塊鏈行業的一級市場的幣權投資和股權投資、二級市場的數字資產資管服務。[2020/9/29]

https://bscscan.com/address/0xcd337b920678cf35143322ab31ab8977c3463a45

區塊鏈安全公司CertiK發布去中心化安全預言機:區塊鏈安全公司CertiK（CTK）發布基于CertiK鏈的去中心化安全預言機，旨在有效減少鏈上交易與實時安全檢測之間的距離，致力于運用去中心化的方法來解決安全難點。CertiK安全預言機可以應用于任何支持智能合約功能的區塊鏈平臺（如以太坊）。CertiK鏈在其業務區塊鏈上部署了安全預言機的公共入口，以接收來自DeFi應用程序的安全查詢，為即將進行的交易提供信息。用戶可以輕松訪問安全預言機、查詢即將進行的交易，并獲得實時的安全情報。另外，CertiK提出的解決方案都將使用CertiK鏈上的原生代幣CTK來維護預言機網絡的正常運轉。[2020/9/8]

被攻擊的預言機相關合約：https://bscscan.com/address/0xc11b687cd6061a6516e23769e4657b6efa25d

NestFans論壇拾二：雙邊報價、全市場驗證等特點，讓NEST預言機的數據真實有效:7月31日，“霍比特E姐有約”第5期進行了主題為“當紅殿堂級預言機項目NEST大起底”的線上AMA，NestFans論壇拾二受邀參加，與霍比特全球商務副總裁Elsa就預言機市場及NEST預言機優勢進行了深度討論。

拾二稱：與喂價節點只是價格數據搬運的“間接”預言機相比，NEST價格預言機，是通過分布式礦工「雙邊報價」的方式在鏈上直接生成（形成）價格，然后供下游 DEFI 調用。NEST上的每一單報價都會經過全市場驗證者的驗證，度過驗證周期存活下來的報價數據，才會參與鏈上價格生成，保證了數據的真實有效。

“霍比特E姐有約”為霍比特交易所線上AMA直播欄目，旨在為社區用戶提供一個直觀、清晰、便捷的平臺了解項目，同時為項目方提供一個直接觸達社區用戶、與社區近距離交流的渠道。[2020/7/31]

攻擊步驟

①攻擊者從TornadoCash收到ETH，并用收到的部分ETH購買FTS代幣用于投票和抵押。

②然后，攻擊者提交了一個提案，改變貸款合約中FTS代幣的抵押系數。

③攻擊者使用購買的FTS代幣對其提案投了贊成票。因為Fortressloans的治理合同的法定票數是400,000FTS——小于攻擊者持有的金額，所以該提案被通過。

④同時，攻擊者將FTS存入貸款合約作為抵押品。

⑤提案通過后，攻擊者執行提案，將FTS的抵押系數從0更新到70000000000000，以便在后續步驟中利用其獲利。

⑥此外，攻擊者通過預言機相關chain合約中的非限制性函數`submit()`更新了貸款合約使用的價格預言機，該函數缺少對簽名的有效驗證，因此該更新會被成功執行。

⑦通過更新，攻擊者的抵押品的價值被大幅提高，所以攻擊者能夠從貸款合約中借到大量的其他代幣。

⑧攻擊者將借來的代幣轉換為ETH和DAI，并將其存入TornadoCash。

合約漏洞分析

漏洞①

第一個漏洞是治理合約的一個設計缺陷。

治理合約可以執行成功提案，以修改借貸相關的配置。然而，要成功執行提案，投票所需的最低FTS代幣是40萬。由于FTS代幣的價格很低，攻擊者僅用大約11個ETH就交換了超過40萬個FTS代幣。

有了這些FTS代幣，攻擊者可以隨意創建一個惡意提案并成功執行。

漏洞②

第二個漏洞是chain合約用以更新價格的“submit”系數有一個缺陷——允許任何人更新價格。

L142中的必要語句被注釋掉了。因此該合約在更新價格時并未驗證該調用已收集到足夠的簽名。

資產去向

78萬+228萬USDT在兩次攻擊交易后被轉移到攻擊者地址。

230萬USDT被發送到EthereumtoanySwap(Multichain)。

77萬USDT通過cBridge(CelerNetwork)發送到以太坊。

所有的USDT通過Unswap兌換成ETH和DAI，并發送至TornadoCash。

時間線

北京時間5月9日凌晨00:30左右，Fortress的代幣價格暴跌。很快項目團隊即在telegram中說明：項目出了一些問題，目前正在調查中。

但這次攻擊可能開始得比我們想象中更早。

攻擊者第一次開始「試探」是在北京時間4月20日凌晨1:41:59，他們部署了一個未驗證的合約。在"踩點"之后接下來的幾周里，攻擊者持續通過一系列的交易與Fortress進行交互，并部署未經驗證的合約，這一行為直到此次攻擊事件的前幾天才消停。

攻擊者部署了合約后，他們又啟動了一系列的交易——允許他們創建和資助一個外部擁有的地址，向FortressGovernorAlpha合約提出惡意提案并自己進行投票，隨后將FTS代幣的抵押品設置得極高，使得FTS價值增加，用其借取大量其他代幣，然后換成ETH和DAI。

攻擊合約在完成攻擊后已自毀，目前資金在通過cBridge(CelerNetwork)橋和Multichain交換橋后被轉移到以太坊鏈，并在一系列后續交易中被發送到TornadoCash。

寫在最后

本次攻擊事件本應通過安全審計來有效地避免。

針對漏洞①，由于治理代幣的價格和有多少代幣在流通是未知的，因此發現這個風險并不容易，但可以通過一定的風險發現來警告潛在的相關攻擊行為。

針對漏洞②，審計可以發現關鍵驗證的缺失，避免任何人都有可能通過提交功能來操縱價格。

預言機操縱造成的攻擊并非僅此一例，日前CertiK發布的受盜資金更為龐大。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

Tags：FTSERTCERTTIKFTSY價格VertexcertikSTIK幣

Ethereum