前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
Uniswap發布自托管錢包,但被蘋果拒絕上架:3月4日消息,在剛剛舉行的EthDenver會議上,Uniswap發布了自己品牌的錢包App。該錢包支持以太坊、Polygon、Optimism等網絡。該錢包還提供價格監測工具,并可追蹤其他地址的交易活動。這一錢包還可借由蘋果iCloud存儲助記詞。
但蘋果拒絕給予了Uniswap將App上架的請求。Uniswap的一位發言人表示“蘋果還沒有批準我們的發布申請,且并未說明原因——我們已經回應了他們的擔憂,回答了每一個問題,并重申我們100%符合他們的要求。”
目前,這一錢包尚無Android版本,這一意味著該錢包仍基本上無法使用。目前已有部分用戶可通過TestFlight使用該App。[2023/3/4 12:41:26]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
哈薩克斯坦參議院通過監管加密貨幣挖礦和交易的法案:金色財經報道,哈薩克斯坦參議院通過了一項法案,旨在監管該國的加密貨幣和相關活動。據當地媒體報道,隨著其他法律文件的頒布,新的《哈薩克斯坦共和國數字資產法》為在該國建立加密生態系統創造了條件。議會上院議員在1月早些時候審議了這一綜合法案,并決定對其提出某些修正案,議會下院已經批準了該法案的版本。然而,總統Kassym-Jomart Tokayev于1月19日解散了眾議院,并要求提前舉行選舉。
參議員Bekbolat Orynbekov表示,在選舉出新的議會下院之前,參議院擁有所有的立法權。該數字資產法規和相關法案構成了一套單一的法律,使哈薩克斯坦國家元首能夠履行其對數字貨幣挖礦及其流通的監管職責。
Tokayev還沒有簽署這項法律和參議員提出的其他必要修改,包括對哈薩克斯坦稅收和其他預算支付、司法行政和行政違法法律的修正案。據悉,政府的一個關鍵目標是監管在該國發行數字貨幣公司的活動。[2023/1/30 11:36:26]
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
比特幣閃電網絡容量為5,131.55 BTC:金色財經報道,據1ML網站最新數據顯示,比特幣閃電網絡容量已超5100枚BTC,本文撰寫時為5,131.55BTC(過去30天上漲2%)。此外,當前閃電網絡節點為16,340個(過去30天下跌8.57%),通道數量為77,826個(過去30天下降10%)。[2022/11/14 12:59:57]
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
Solana鏈上剩余可清算額僅剩約150萬美元:11月10日消息,據DefiLlama數據顯示,Solana鏈上24小時可清算價值變化達-51.5%,當前剩余可清算額僅剩約150萬美元。其中11.096和9.432美元處分別存在36.71萬美元和29.44萬美元的鏈上清算,截至發文時,SOL暫報14.45美元。[2022/11/10 12:40:51]
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
很多人認為近期火爆的元宇宙和Web3是同一回事,其實不然!Web3是相對Web2而言的。Web2是中心化互聯網應用,而Web3則是去中心化的.
1900/1/1 0:00:00Opensea近日宣布為NFT市場創建了一個名為Seaport的協議。Seaport或許會從根本上改變我們購買/出售/交易NFT的方式。請以與Uniswap相同的方式看待Seaport.
1900/1/1 0:00:00金色財經報道,美國參議員CynthiaLummis和KirstenGillibrand周二在DC區塊鏈峰會上討論了備受期待的兩黨加密貨幣法案的細節,他們計劃在6月公布他們的兩黨加密法案.
1900/1/1 0:00:00在5月10日現場直播的聽證會上,美國財政部長耶倫呼吁在年底前通過穩定幣立法,并強調了圍繞TerraUSD(UST)的風險,她說:“一種名為TerraUSD的穩定幣經歷了一次暴跌并貶值.
1900/1/1 0:00:00金色財經報道,塞浦路斯已經準備好了自己的監管加密資產的立法,并可能在歐洲最終確定共同的監管框架之前實施.
1900/1/1 0:00:001.LUNA為什么會陷入死亡螺旋?為Terra區塊鏈提供支持的TerraformLabs的創始人DoKwon正在采取措施支撐其算法穩定幣.
1900/1/1 0:00:00