前言
北京时间2022年5月9日,知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括1,048枚ETH和400,000枚DAI,共计约300W美元,目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
报告:元宇宙到2030年可能创造5万亿美元的价值:金色财经报道,虽然2022年的熊市让非同质化代币(NFT)等新兴加密货币子生态系统周围的兴奋情绪消退,但元宇宙仍处于长期中断的有利位置。考虑到元宇宙可以迎合的无数以消费者和企业为中心的用例,麦肯锡估计,到2030年,超过50%的现场活动可能会在元宇宙中举行,这可能会产生高达5万亿美元的价值。[2023/1/7 11:00:00]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
The Sandbox与韩国综合频道Channel A签署元宇宙业务合作关系:7月7日消息,元宇宙项目The Sandbox宣布与韩国综合频道Channel A签署元宇宙业务合作伙伴关系,双方利用各自公司积累的资源合作推动元宇宙和NFT体验。此外,Channel A计划在The Sandbox的虚拟房地产中展示基于代表性娱乐IP的各种游戏和视频内容。Channel A是由东亚日报出资并作为大股东成立的电视台。
除此之外,The Sandbox还在和韩国游乐园乐天世界、娱乐传媒公司CJ ENM、育碧、雅达利等200多个合作伙伴一起扩展元宇宙世界。[2022/7/7 1:58:01]
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
路易威登提交四项NFT和元宇宙相关商标申请:6月29日消息,美国商标局商标注册律师Mike Kondoudis在社交媒体上发文表示,法国时尚品牌路易威登(LOUIS VUITTON)已提交四项 NFT 和元宇宙相关商标申请,范围涵盖 NFT、虚拟商品、数字收藏品、数字收藏市场,以及 NFT/虚拟商品/数字收藏品相关金融服务。[2022/6/29 1:39:23]
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
奢侈品巨头LVMH:正在密切关注元宇宙,元宇宙仍处于早期阶段:4月21日消息,拥有路易威登、迪奥和芬迪等品牌的奢侈品巨头LVMH正在密切关注元宇宙。最新的财报电话会议简要提到了“元宇宙”以及该公司如何考虑其游戏战略。LVMH首席财务官Jean Jacques Guion表示,LVMH集团旗下的Christian Dior、Marc Jacobs、Tiffany Co. 和 Louis Vuitton等奢侈品牌正在“非常谨慎地”研究虚拟世界和区块链游戏,有许多举措可能会促进业务发展,论发生什么,我们都会参与其中。虽然元宇宙领域很有趣且前景看好,但仍处于早期阶段。据悉,LVMH旗下的几家公司已经开始在加密、NFT和游戏方面进行实验。(The Block)[2022/4/21 14:38:14]
漏洞分析
该项目是依旧是Compound的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变FTS在协议中的价格借走了其他池子中的资产,市场中的借贷池如下:
攻击流程
1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物,提案ID为11;
2、通过调用预言机submit函数改变FTS的价格;
3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场;
4、由于市场价格对于FTS的价值计算出现问题,攻击者使用该抵押品直接调用borrow进行借款;
借取的资产:
5、由于100个FTS没什么价值不需要取回,而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。
总结
本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击,我们敦促所有Fork了Compound的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。