FTS:千里之堤毀于蟻穴 Fortress Protocol 慘遭攻擊_Compound

前言

北京時間2022年5月9日，知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊，這是最近實驗室檢測到的第三起預言機攻擊事件，損失包括1,048枚ETH和400,000枚DAI，共計約300W美元，目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

新火科技發布中期業績：將專注MPC自托管主要業務，評估決定VASP牌照申請:據官方消息，5月29日，新火科技控股有限公司（股票代碼1611.HK）發布截至2023年3月31日止6個月的中期業績公告。

新火科技表示，對于虛擬資產業務方向規劃，新火科技將專注于多方計算（“MPC”）錢包及其生態增值業務。在區塊鏈MPC錢包業務中，新火科技正利用MPC技術實現私隱保護及資產保安。此外，公司將通過開發PoS算法及應用場景來擴大市場及業務規模，為股東及投資者帶來更高回報。

新火科技同時披露，集團將根據未來業務策略及計劃，評估會否申請VASP牌照。[2023/6/2 11:54:26]

被攻擊Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

英國財政委員會：希望通過擴展現有的金融市場規則來監管加密貨幣:金色財經報道，英國財政委員會在周三的一份報告中似乎反對政府將加密貨幣作為受監管的金融活動的建議，政府在咨詢中表示，希望通過擴展現有的金融市場規則來監管加密貨幣，為數字資產服務提供商創建一個授權制度。一項正在議會審議的新法案也試圖將加密貨幣作為受監管的金融活動進行監管。（Coindesk）[2023/5/17 15:07:22]

被攻擊預言機地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

攻擊者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

數據：加密貨幣30天資本流動水平已恢復為正值:金色財經報道，據Glassnode的數據顯示，加密貨幣的30天資本流動已恢復到正水平。此外，總市場實現價值凈值自2022年4月以來首次恢復增長。

在過去九個月左右的時間里，這一指標一直處于負值，因為流出加密貨幣市場的資本多于流入加密貨幣市場的資本。（BeInCrypto）[2023/2/27 12:32:06]

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

加密稅軟件公司CoinTracker已解雇19名員工:1月28日消息，據內部郵件顯示，由于市場狀況和過度招聘，加密稅軟件公司CoinTracker已解雇19名員工，約占員工總數的五分之一。公司發言人在一封電子郵件中證實了裁員的消息，并表示被解雇的19人中有15人來自客戶支持團隊。該公司表示:“在考慮解雇團隊成員之前，我們已經系統地優化了所有其他成本。”

據LinkedIn和DealRoom數據顯示，裁員前，CoinTracker大約有100名員工。[2023/1/28 11:33:31]

漏洞分析

該項目是依舊是Compound的仿盤，但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格；

攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產，市場中的借貸池如下：

攻擊流程

1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物，提案ID為11；

2、通過調用預言機submit函數改變FTS的價格；

3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場；

4、由于市場價格對于FTS的價值計算出現問題，攻擊者使用該抵押品直接調用borrow進行借款；

借取的資產：

5、由于100個FTS沒什么價值不需要取回，而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。

總結

本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊，我們敦促所有Fork了Compound的項目方主動自查，目前已知的攻擊主要歸結于如下幾個問題：

千里之堤毀于蟻穴。從內部調用可見，本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。

Tags：FTS加密貨幣COMCompoundNFTShiba.Finance加密貨幣有哪幾種形態3COMMASCompound USDT

酷幣下載