FTS:千里之堤毁于蚁穴，Fortress Protocol惨遭攻击_com币多少一枚

前言

北京时间2022年5月9日，知道创宇区块链安全实验室监测到BSC链上借贷协议FortressProtocol因预言机问题被攻击，这是最近实验室检测到的第三起预言机攻击事件，损失包括1,048枚ETH和400,000枚DAI，共计约300W美元，目前已使用AnySwap和Celer跨链到以太坊利用Tornado进行混币。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

GameStop Wallet更新至0.8.0版本，支持Unstoppable Domains域名和NFT分组等功能:9月1日消息，GameStop推出的非托管浏览器插件钱包GameStop Wallet发布0.8.0版本，新增支持Unstoppable Domains域名、NFT分组以及多个帐户钱包恢复功能。[2022/9/1 13:02:40]

被攻击Comtroller：0x01bfa5c99326464b8a1e1d411bb4783bb91ea629

私人多重签名协议Nucleo已在Aztec Network上开启内测:金色财经消息，Nucleo官方博客称，私人多重签名协议Nucleo已在基于ZKRollup的隐私和扩容解决方案Aztec Network上开启内测，利用多重签名和零知识密码学技术，允许用户通过查看密钥进行私人交易、私人DeFi、私人筹款等操作，并具备可审计性。（medium.com）[2022/8/16 12:28:18]

被攻击预言机地址：0xc11b687cd6061a6516e23769e4657b6efa25d78e

FTX整合Reddit社群积分币，未来可直接在FTX Pay交易和支付:8月9日消息，FTX宣布将Reddit社群积分币整合至FTX Pay，未来包括美国、澳洲、欧盟和其他全球的 Reddit 用戶都可以在FTX Pay中交易和支付Reddit社群积分币。

Reddit社群积分币可在特定讨论版（subreddit）使用，用户可根据社群的贡献程度，例如发文和评论等获得积分币。积分币可用于解锁徽章、贴图、GIF 图片等社群专属功能，针对议题投票、炫耀积分（积分会在头像旁显示）等。[2022/8/9 12:13:35]

攻击者地址：0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45

tx：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

漏洞分析

该项目是依旧是Compound的仿盘，但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的power便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格；

攻击者通过改变FTS在协议中的价格借走了其他池子中的资产，市场中的借贷池如下：

攻击流程

1、攻击者购买了FTS代币并通过提案投票支持添加FTS作为抵押物，提案ID为11；

2、通过调用预言机submit函数改变FTS的价格；

3、攻击者使用100个FTS作为抵押物调用enterMarket进入市场；

4、由于市场价格对于FTS的价值计算出现问题，攻击者使用该抵押品直接调用borrow进行借款；

借取的资产：

5、由于100个FTS没什么价值不需要取回，而攻击者后续仍将其他用于第一步的FTS还在Pancake兑换进行了彻底的套现。

总结

本次攻击原因是Compound仿盘在预言机使用时出现了问题。近期大量Compound仿盘项目被攻击，我们敦促所有Fork了Compound的项目方主动自查，目前已知的攻击主要归结于如下几个问题：

千里之堤毁于蚁穴。从内部调用可见，本次攻击者使用getAllMarkets依次遍历拿取了全部市场的底层资产并将FTS彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。

标签：FTSDITREDCOMnfts币合约地址Liquidity NetworkPredictzcom币多少一枚

波场热门资讯