Fortress Protocol – isang algorithmic money market at defi lending protocol – ay naubos ang lahat ng pondo kasunod ng pag-atake ng oracle manipulation. Ang ninakaw na crypto ay na-bridge mula sa Binance Smart Chain hanggang sa Ethereum at pinaghalo gamit ang privacy protocol na Tornado Cash.
Pagbili ng Protocol
Ang Blockchain security firm na CertiK ay nagbahagi ng impormasyon tungkol sa hack sa CryptoPotato noong Lunes. Nagsimula ito sa paggamit ng hacker ng ETH para bumili ng malaking halaga ng FTS – ang token ng pamamahala na namamahala sa FTS protocol.
Ang quorum votes sa Fortress loans' governance contract ay 400,000 FTS. Nagkakahalaga lamang iyon ng $18,000 sa panahon ng pag-hack at kumakatawan sa isang mas maliit na bilang ng mga token kaysa sa hawak ng umaatake. Sa madaling salita, hawak na niya ngayon ang awtoridad na ipasa ang anumang panukala sa pagbabago ng protocol na nagustuhan niya.
Dahil dito, ipinasa niya ang proposal ID 11, na nagpabago sa collateral factor sa mga token ng FTS sa loob ng mga kontrata ng pautang mula 0 hanggang 700,000,000,000,000,000. In-update din niya ang price oracle na ginamit ng kontrata ng pautang upang mag-update ang presyo ng token, kahit na zero ang kapangyarihan sa pagboto.
"Sa mga update na ito, ang halaga ng collateral (FTS) ng attacker ay tumaas nang malaki, kaya ang attacker ay nakapag-loan ng malaking halaga ng iba pang mga token mula sa mga loan contract," ipinaliwanag CertiK sa Twitter.
Ginamit ng attacker ang kanyang natitirang FTS para humiram ng napakalaking bilang ng mga token, at i-convert ang mga ito sa mahigit 1000 ETH, at mahigit 400,000 DAI – nagkakahalaga ng mahigit $3 milyon sa oras ng hack. Pagkatapos ay nag-deploy siya ng mekanismong self-destruct na naka-encode sa kanyang malisyosong smart contract at mabilis inilipat ang mga ninakaw na gamit sa Tornado Cash.
Ang fortress protocol team ay nagsabi na sila ay "ganap na nawasak" sa mga kaganapan kahapon. Nanawagan sila sa komunidad na huwag magdeposito ng anumang mga ari-arian sa Fortress, at para sa lahat ng magagamit na mga kasosyo na tumulong sa pag-reclaim ng mga pondo.
Tornado Cash: Criminal Tool of Choice
Parehong kinakailangan ng ETH na bilhin ang unang FTS ng hacker, at ang ETH na kumakatawan sa mga ninakaw na produkto ng hacker ay dumating at dumaan sa Tornado Cash. Sinira ng mixing protocol ang link sa pagitan ng address ng nagpadala at receiver sa Ethereum, na hinahayaan ang hacker na itago ang kanyang pagkakakilanlan mula simula hanggang matapos.
Ang parehong protocol ay naging kapaki-pakinabang sa maraming mga magnanakaw ng crypto sa nakalipas na ilang buwan. Ang tao o grupo sa likod ng $600 milyon na Ronin hack noong Marso ay tanging responsable na ngayon 15% ng mga pondo na idineposito sa panghalo.
Noong Enero, tinatayang $14.6 milyon sa ETH ang ninakaw mula sa Crypto.com nilabhan sa pamamagitan ng Tornado.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/