Fortress Protocol – en algoritmisk pengemarkeds- og definerende utlånsprotokoll – har blitt tappet for alle midler etter et orakelmanipulasjonsangrep. Den stjålne kryptoen har siden blitt koblet fra Binance Smart Chain til Ethereum og blandet ved hjelp av personvernprotokollen Tornado Cash.
Å kjøpe ut protokollen
Blockchain-sikkerhetsfirmaet CertiK delte informasjon om hacket med CryptoPotato på mandag. Det begynte med at hackeren brukte ETH til å kjøpe en betydelig mengde FTS – styringstokenet som administrerer FTS-protokollen.
Beslutningsstemmene på Fortress-låns styringskontrakt er 400,000 18,000 FTS. Det var verdt bare $XNUMX XNUMX på tidspunktet for hacket og representerte et mindre antall tokens enn angriperen hadde. Med andre ord hadde han nå myndighet til å vedta ethvert forslag til protokollendringer som han likte.
Som sådan vedtok han forslag ID 11, som endret sikkerhetsfaktoren på FTS-tokens i lånekontrakter fra 0 til 700,000,000,000,000,000. Han oppdaterte også prisoraklet brukt av lånekontrakten slik at tokens pris ville oppdateres, selv om stemmestyrken var null.
"Med disse oppdateringene ble verdien av angriperens sikkerhet (FTS) hevet betydelig, slik at angriperen var i stand til å låne store mengder andre tokens fra lånekontraktene," forklarte CertiK over Twitter.
Angriperen brukte sine gjenværende FTS til å låne et enormt antall tokens, og konvertere dem til over 1000 ETH og over 400,000 3 DAI – verdt over $XNUMX millioner på tidspunktet for hacket. Deretter implementerte han en selvdestruksjonsmekanisme kodet inn i hans ondsinnede smarte kontrakt og raskt overføres tyvegodset til Tornado Cash.
Festningsprotokollteamet sa at de er "absolutt ødelagt" av gårsdagens hendelser. De har oppfordret samfunnet til ikke å sette inn noen eiendeler i Fortress, og alle tilgjengelige partnere skal hjelpe til med å kreve tilbake midlene.
Tornado Cash: Criminal Tool of Choice
Både ETH som kreves for å kjøpe hackerens første FTS, og ETH som representerer hackerens stjålne varer, kom og gikk gjennom Tornado Cash. Blandingsprotokollen bryter koblingen mellom en avsender og mottakers adresse på Ethereum, og lar hackeren holde identiteten sin skjult fra start til slutt.
Den samme protokollen har vært nyttig for mange kryptotyver de siste månedene. Personen eller gruppen bak $600 millioner Ronin hacket i mars er nå alene ansvarlig for 15% av midlene blir avsatt i mikseren.
I januar ble det stjålet omtrent 14.6 millioner dollar i ETH fra Crypto.com Vasket gjennom Tornado.
Binance gratis $100 (eksklusivt): Bruk denne lenken for å registrere deg og motta $100 gratis og 10 % rabatt på Binance Futures første måned (vilkår).
PrimeXBT Spesialtilbud: Bruk denne lenken for å registrere deg og angi POTATO50-koden for å motta opptil $7,000 XNUMX på innskuddene dine.
Kilde: https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/