Protokol Fortress – pasaran wang algoritma dan protokol pinjaman defi – telah kehabisan semua dana berikutan serangan manipulasi oracle. Crypto yang dicuri sejak itu telah disambungkan daripada Binance Smart Chain kepada Ethereum dan dicampur menggunakan protokol privasi Tornado Cash.
Membeli Protokol
Firma keselamatan Blockchain CertiK berkongsi maklumat tentang penggodaman dengan CryptoPotato pada hari Isnin. Ia bermula dengan penggodam menggunakan ETH untuk membeli sejumlah besar FTS - token tadbir urus yang menguruskan protokol FTS.
Undian kuorum pada kontrak tadbir urus pinjaman Fortress ialah 400,000 FTS. Itu hanya bernilai $18,000 pada masa penggodaman dan mewakili bilangan token yang lebih kecil daripada yang dipegang oleh penyerang. Dalam erti kata lain, dia kini memegang kuasa untuk meluluskan sebarang cadangan perubahan protokol yang disukainya.
Oleh itu, beliau meluluskan ID 11 cadangan, yang mengubah faktor cagaran pada token FTS dalam kontrak pinjaman daripada 0 kepada 700,000,000,000,000,000. Dia juga mengemas kini oracle harga yang digunakan oleh kontrak pinjaman supaya harga token akan dikemas kini, walaupun kuasa mengundi adalah sifar.
“Dengan kemas kini ini, nilai cagaran penyerang (FTS) dinaikkan dengan ketara, jadi penyerang dapat meminjam sejumlah besar token lain daripada kontrak pinjaman,” menjelaskan CertiK melalui Twitter.
Penyerang menggunakan baki FTSnya untuk meminjam sejumlah besar token, dan menukarnya kepada lebih 1000 ETH, dan lebih 400,000 DAI – bernilai lebih $3 juta pada masa penggodaman. Dia kemudiannya menggunakan mekanisme pemusnahan diri yang dikodkan ke dalam kontrak pintarnya yang berniat jahat dan dengan pantas dipindahkan barang yang dicuri kepada Tornado Cash.
Pasukan protokol kubu berkata mereka "benar-benar hancur" dengan peristiwa semalam. Mereka telah menyeru masyarakat untuk tidak mendepositkan sebarang aset ke dalam Fortress, dan semua rakan kongsi yang ada untuk membantu dalam menuntut semula dana tersebut.
Tornado Cash: Alat Pilihan Jenayah
Kedua-dua ETH perlu membeli FTS permulaan penggodam, dan ETH yang mewakili barangan curi penggodam datang dan melalui Tornado Cash. Protokol pencampuran memutuskan pautan antara alamat pengirim dan penerima di Ethereum, membenarkan penggodam menyembunyikan identitinya dari awal hingga akhir.
Protokol yang sama telah berguna kepada banyak pencuri crypto sejak beberapa bulan lalu. Orang atau kumpulan di sebalik penggodam Ronin $600 juta pada bulan Mac kini bertanggungjawab sepenuhnya 15% daripada dana didepositkan ke dalam pengadun.
Pada bulan Januari, anggaran $14.6 juta dalam ETH yang dicuri daripada Crypto.com telah dicuci melalui Tornado.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/