Fortress 协议——一种算法货币市场和 DeFi 借贷协议——在预言机操纵攻击后已经耗尽了所有资金。 此后,被盗的加密货币已从币安智能链桥接到以太坊,并使用隐私协议 Tornado Cash 进行混合。
买断协议
周一,区块链安全公司 CertiK 与 CryptoPotato 分享了有关黑客攻击的信息。 首先是黑客使用 ETH 购买了大量的 FTS——管理 FTS 协议的治理令牌。
Fortress 贷款治理合约的法定人数为 400,000 FTS。 在被黑客入侵时,这仅值 18,000 美元,并且代表的代币数量少于攻击者持有的代币数量。 换句话说,他现在有权通过任何他喜欢的协议更改提案。
因此,他通过了提案 ID 11,该提案将贷款合同中 FTS 代币的抵押因子从 0 更改为 700,000,000,000,000,000。 他还更新了贷款合约使用的价格预言机,即使投票权为零,代币的价格也会更新。
“通过这些更新,攻击者的抵押品(FTS)的价值显着提高,因此攻击者能够从贷款合同中借入大量其他代币,” 解释 推特上的证书。
攻击者使用他剩余的 FTS 借入大量代币,并将其转换为超过 1000 ETH 和超过 400,000 DAI——在被黑客攻击时价值超过 3 万美元。 然后,他在恶意智能合约中部署了一种自毁机制,并迅速 转移 将赃物交给 Tornado Cash。
要塞协议小组表示,他们对昨天的事件“彻底崩溃了”。 他们呼吁社区不要将任何资产存入 Fortress,并呼吁所有可用的合作伙伴协助收回资金。
Tornado Cash:首选犯罪工具
购买黑客初始 FTS 所需的 ETH 和代表黑客赃物的 ETH 都通过 Tornado Cash 来来去去。 混合协议打破了以太坊上发送者和接收者地址之间的联系,让黑客从头到尾隐藏自己的身份。
在过去的几个月里,相同的协议对许多加密货币窃贼很有用。 600 月 XNUMX 亿美元的 Ronin 黑客事件背后的个人或团体现在全权负责 资金的15% 被放入混合器中。
14.6 月份,从 Crypto.com 被盗的价值约 XNUMX 万美元的 ETH 被 洗过的 通过龙卷风。
资料来源:https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/