Fortress Protocol – en algoritmisk pengemarkeds- og defineret udlånsprotokol – er blevet drænet for alle midler efter et orakelmanipulationsangreb. Den stjålne krypto er siden blevet koblet fra Binance Smart Chain til Ethereum og blandet ved hjælp af privatlivsprotokollen Tornado Cash.
Udkøb af protokollen
Blockchain-sikkerhedsfirmaet CertiK delte information om hacket med CryptoPotato i mandags. Det startede med, at hackeren brugte ETH til at købe en betydelig mængde FTS - styringstokenet, der administrerer FTS-protokollen.
De beslutningsdygtige stemmer på fæstningslåns forvaltningskontrakt er 400,000 FTS. Det var kun $18,000 værd på tidspunktet for hacket og repræsenterede et mindre antal tokens, end angriberen havde. Med andre ord havde han nu bemyndigelsen til at vedtage ethvert forslag til protokolændringer, som han kunne lide.
Som sådan vedtog han forslag ID 11, som ændrede sikkerhedsfaktoren på FTS-tokens i lånekontrakter fra 0 til 700,000,000,000,000,000. Han opdaterede også prisoraklet, der blev brugt af lånekontrakten, således at tokens pris ville opdateres, selvom stemmestyrken var nul.
"Med disse opdateringer blev værdien af angriberens sikkerhedsstillelse (FTS) hævet betydeligt, så angriberen var i stand til at låne store mængder af andre tokens fra lånekontrakterne," forklarede CertiK over Twitter.
Angriberen brugte sin tilbageværende FTS til at låne et enormt antal tokens og konvertere dem til over 1000 ETH og over 400,000 DAI - til en værdi af over $3 millioner på tidspunktet for hacket. Han implementerede derefter en selvdestruktionsmekanisme indkodet i hans ondsindede smarte kontrakt og hurtigt overført de stjålne varer til Tornado Cash.
Fæstningsprotokollen sagde, at de er "absolut ødelagt" over gårsdagens begivenheder. De har opfordret samfundet til ikke at deponere nogen aktiver i fæstningen, og til alle tilgængelige partnere til at hjælpe med at kræve midlerne tilbage.
Tornado Cash: Criminal Tool of Choice
Både den ETH, der krævedes for at købe hackerens oprindelige FTS, og den ETH, der repræsenterede hackerens stjålne varer, kom og gik gennem Tornado Cash. Blandingsprotokollen bryder forbindelsen mellem en afsender og modtagers adresse på Ethereum, og lader hackeren holde sin identitet skjult fra start til slut.
Den samme protokol har været nyttig for adskillige kryptotyve i løbet af de sidste par måneder. Personen eller gruppen bag $600 millioner Ronin hacket i marts er nu eneansvarlig for 15 % af midlerne afsættes i blanderen.
I januar blev der stjålet cirka 14.6 millioner dollars i ETH fra Crypto.com hvidvaskede gennem Tornado.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/