北京时间 2022 年 5 月 9 日,知道创宇区块链安全实验室监测到 BSC 链上借贷协议 Fortress Protocol 因预言机问题被攻击,这是最近实验室检测到的第三起预言机攻击事件,损失包括 1,048 枚 ETH 和 400,000 枚 DAI,共计约300W 美元,目前已使用 AnySwap 和 Celer 跨链到以太坊利用 Tornado 进行混币。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
ShelterZoom联创:区块链技术可以解决人工智能造成的安全风险:金色财经报道,Web3智能文档和网络弹性SaaS提供商ShelterZoom首席执行官兼联合创始人Chao Cheng-Shorland撰文称,人工智能 (AI) 具有改善人们生活的巨大潜力,但也带来了可供黑客利用的新攻击媒介,例如医院和医疗机构容易遭受勒索软件攻击和数据泄露风险,而区块链技术可以作为该问题的解决方案。通过以去中心化和不可变的方式存储数据,区块链可以拒绝未经授权的修改或篡改用于训练人工智能模型的数据集。区块链应用程序还可以阻止人工智能滥用未经授权的内容智能生成。由于涉及人工智能的企业经常需要相互发送安全信息,基于区块链的平台可以促进组织之间的安全共享。区块链固有的安全性和透明度甚至可以通过其不可变和可追踪的性质来保护所有权,从而帮助打击深度伪造和其他伪造的人工智能生成内容。[2023/7/26 15:58:35]
被攻击Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
上海徐汇:17个重大项目集中签约 涵盖车联网、元宇宙等领域:1月3日消息,上海徐汇区今天举办了2023年投资促进大会暨重大项目签约仪式,17个重大项目集中签约。本次签约的17个重大项目涵盖了大健康、车联网、信息技术、汽车、元宇宙以及餐饮等不同领域。[2023/1/4 9:50:39]
被攻击预言机地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
攻击者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45
ConsenSys已更新隐私政策,将收集MetaMask用户交易时的IP地址和ETH地址:11月24日消息,以太坊基础设施开发公司ConsenSys更新了其隐私政策,声明当用户在MetaMask中使用Infura作为默认RPC时,将在用户发送交易时收集对应的IP地址和ETH地址。如果用户使用自己的以太坊节点或第三方RPC提供商,那么Infura和MetaMask不会收集用户的IP地址或ETH地址,具体情况将取决于用户所使用的RPC提供商进行的任何信息收集以及他们关于此类要求的条款。[2022/11/24 8:03:34]
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
成都链安:GYM Network 项目的GymSinglePool遭受攻击:6月8日消息,据成都链安安全舆情监控数据显示,GYM Network 项目的GymSinglePool遭受了攻击。因为_autoDeposit函数未转入抵押的代币,攻击者恶意调用了depositFromOtherContract函数记账,并凭空提取了GYM token,目前2000BNB已进了Tornado Cash,3000BNB存放在攻击账户中,价值70W美元的ETH转入了以太坊。[2022/6/8 4:10:43]
该项目是依旧是 Compound 的仿盘,但由于项目方在预言机实现注释了原本存在的检查导致不需要足够的 power 便可以通过0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改价格;
攻击者通过改变 FTS 在协议中的价格借走了其他池子中的 资产,市场中的借贷池如下:
1、攻击者购买了 FTS 代币并通过提案投票支持添加 FTS 作为抵押物,提案 ID为 11;
2、通过调用预言机 submit 函数改变 FTS 的价格;
3、攻击者使用 100 个 FTS 作为抵押物调用 enterMarket 进入市场;
4、由于市场价格对于 FTS 的价值计算出现问题,攻击者使用该抵押品直接调用 borrow 进行借款;
借取的资产:
5、由于 100 个 FTS 没什么价值不需要取回,而攻击者后续仍将其他用于第一步的 FTS 还在 Pancake 兑换进行了彻底的套现。
本次攻击原因是 Compound 仿盘在预言机使用时出现了问题。近期大量Compound 仿盘项目被攻击,我们敦促所有 Fork 了 Compound 的项目方主动自查,目前已知的攻击主要归结于如下几个问题:
千里之堤毁于蚁穴。从内部调用可见,本次攻击者使用 getAllMarkets 依次遍历拿取了全部市场的底层资产并将 FTS 彻底套现。建议项目方对于自己有不一样的实现上一定要建立在充分的理解和足够的第三方安全审计上。一点小的误差将可能导致项目的全盘损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。