Fortress Protocol – ett algoritmiskt penningmarknads- och defi-låneprotokoll – har dränerats på alla medel efter en orakelmanipulationsattack. Den stulna krypton har sedan dess överbryggats från Binance Smart Chain till Ethereum och blandas med sekretessprotokollet Tornado Cash.
Köper ut protokollet
Blockchain-säkerhetsföretaget CertiK delade information om hacket med CryptoPotato på måndagen. Det började med att hackaren använde ETH för att köpa en betydande mängd FTS – styrningstoken som hanterar FTS-protokollet.
Körumrösterna på Fortress-låns förvaltningskontrakt är 400,000 18,000 FTS. Det var värt bara $XNUMX XNUMX vid tidpunkten för hacket och representerade ett mindre antal tokens än vad angriparen hade. Med andra ord hade han nu befogenhet att godkänna alla förslag till protokolländring som han gillade.
Som sådan gick han igenom förslag ID 11, som ändrade säkerhetsfaktorn på FTS-tokens inom lånekontrakt från 0 till 700,000,000,000,000,000 XNUMX XNUMX XNUMX XNUMX XNUMX. Han uppdaterade också prisoraklet som användes av lånekontraktet så att tokens pris skulle uppdateras, även om röststyrkan var noll.
"Med dessa uppdateringar höjdes värdet på angriparens säkerhet (FTS) avsevärt, så angriparen kunde låna stora mängder andra tokens från lånekontrakten," förklarade CertiK över Twitter.
Angriparen använde sin återstående FTS för att låna ett enormt antal tokens och konvertera dem till över 1000 400,000 ETH och över 3 XNUMX DAI – värda över XNUMX miljoner dollar vid tidpunkten för hacket. Han distribuerade sedan en självförstöringsmekanism inkodad i hans skadliga smarta kontrakt och snabbt överförd stöldgodset till Tornado Cash.
Fästningsprotokollet sa att de är "absolut förkrossade" av gårdagens händelser. De har uppmanat samhället att inte sätta in några tillgångar i Fortress, och att alla tillgängliga partners hjälper till att återkräva medlen.
Tornado Cash: Criminal Tool of Choice
Både ETH som krävdes för att köpa hackarens första FTS och ETH som representerade hackarens stöldgods kom och gick igenom Tornado Cash. Blandningsprotokollet bryter länken mellan avsändarens och mottagarens adress på Ethereum, vilket låter hackaren hålla sin identitet dold från början till slut.
Samma protokoll har varit användbart för många kryptotjuvar under de senaste månaderna. Personen eller gruppen bakom $600 miljoner Ronin hack i mars är nu ensam ansvarig för 15% av medlen avsätts i mixern.
I januari var ungefär 14.6 miljoner dollar i ETH stulen från Crypto.com tvättade genom Tornado.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/fortress-protocol-hacked-for-3-million-drained-of-all-funds/