千里之堤毀于蟻穴，Fortress Protocol慘遭攻擊-ODAILY_FTS:Bevo Digital Art Token

前言

北京時間2022年5月9日，知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊，這是最近實驗室檢測到的第三起預言機攻擊事件，損失包括1,048枚ETH和400,000枚DAI，共計約300W美元，目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

Ordi重回30美元上方:金色財經報道，數據顯示，比特幣銘文代幣Ordi突破30美元，暫報32美元，24小時漲幅65.79%，24小時交易量近2億美元。此外，BRC-20相關代幣目前約為14307種，總市值突破9億美元，過去24小時的交易量為208,375,043美元。

據悉，BRC-20協議是直接寫到比特幣網絡上，以聰為載體，用OrdinalInscriptions的JSON數據部署、鑄造和轉移代幣。Ordi是第一個比特幣銘文代幣，總供應量為2100萬枚。[2023/5/10 14:53:48]

被攻擊Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

法庭文件：Voyager和Binance.US交易需在4月13日之前得到解決:金色財經報道，根據周一提交的法律文件，如果美國政府提出的法律異議不能在4月13日之前得到解決，Voyager公司及其債權人將損失1億美元。這家破產的加密貨幣貸款機構正在采取緊急法律行動，讓幣安以10億美元的價格收購。

Voyager債權人在一份文件中表示，在4月13日之前完成該計劃對于維護巨大的債權人價值是必要的，如果交易未能完成，Voyager的債權人將損失大約1億美元的價值。

另外，根據最初于12月簽署并于3月獲得破產法官 Michael Wiles 批準的交易條款，如果協議未在四個月內完成，Binance.US 可以退出交易。[2023/4/4 13:44:15]

被攻擊預言機地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

數據：Dragonfly Capital向幣安轉入360萬枚LDO:3月2日消息，據鏈上分析師Lookonchain披露數據顯示，Dragonfly Capital已向幣安轉入360萬枚LDO，價值約合1044萬美元，截至目前Dragonfly Capital旗下三個地址總計持有2165萬枚LDO，價值約合6300萬美元，相關地址的購買成本分別為0.75美元、2.43美元和1.52美元，如果按當前價格拋售將能獲得較大收益。[2023/3/2 12:39:15]

攻擊者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45

N26向五個新市場推出加密貨幣交易:金色財經報道，德國數字銀行N26正在五個新市場推出其加密貨幣產品。N26 Crypto 于去年年底在奧地利推出，現在將使德國、瑞士、比利時、葡萄牙和愛爾蘭的符合條件的客戶能夠在其 N26 應用程序中買賣近 200 種加密貨幣。[2023/1/17 11:17:02]

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

該項目是依舊是Compound的仿盤，但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格；

攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產，市場中的借貸池如下：

攻擊流程

1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物，提案ID為11；

2、通過調用預言機submit函數改變FTS的價格；

3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場；

4、由于市場價格對于FTS的價值計算出現問題，攻擊者使用該抵押品直接調用borrow進行借款；

借取的資產：

5、由于100個FTS沒什么價值不需要取回，而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。

總結

本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊，我們敦促所有Fork了Compound的項目方主動自查，目前已知的攻擊主要歸結于如下幾個問題：

千里之堤毀于蟻穴。從內部調用可見，本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。

Tags：FTSCOMTALOMPfts幣怎么樣COMFIBevo Digital Art Tokencomp幣價格

瑞波幣