成都链安：fortress被盗金额已被转换成1048eth并转入了Tornado Cash

5月9日消息，据成都链安安全舆情监控数据显示，fortress 遭受预言机价格操控攻击，被盗金额已被转换成1048eth并转入了Tornado Cash。经成都链安技术团队分析，本次攻击原因是由于fortress项目的预言机FortressPriceOracle的数据源Chain合约的价格提交函数submit中，将价格提交者的权限验证代码注释了，导致任何地址都可以提交价格数据。攻击者利用这个漏洞，提交一个超大的FST价格，导致抵押品价值计算被操控，进而借贷出了项目中所有的代币。

攻击交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻击者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻击者合约：0xcd337b920678cf35143322ab31ab8977c3463a45

其它快讯：

成都链安：whaleswap.finance项目遭受攻击，至少损失5,946 个BUSD和5964个USDT:6月21日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，whaleswap.finance项目遭受攻击，成都链安技术团队分析发现原因可能是因为whaleswap.finance Pair合约的K值校验存在问题。每当用户在进行交换时，K值校验中传入的参数量级存在问题，造成K值校验失效。攻击者先通过闪电贷借一笔BSC-USD，之后归还闪电贷时K值校验参数量级为10000^4。而K值校验时采取的参数校验量级为10000^2，导致K校验失效。[2022/6/21 4:41:57]

成都链安：Visor Finance遭受攻击事件分析:据成都链安监测显示，Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析，本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<- 主要漏洞，造成本次攻击的根本原因。2.函数未做防重入攻击；<- 次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。针对这两个问题，成都链安在此建议项目方应做好下面两方面：1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]

声音 | 成都链安：使用链上合约轮询开奖机制可能具有安全风险:今日早晨7点半，成都链安态势感知系统鹰眼对某游戏合约交易发出预警，我们的安全人员对该预警进行分析发现，攻击者正在使用一种新的途径获得随机数种子，并通过合约不断发起延时交易，尝试预先计算或者得到游戏合约的开奖参数，安全团队已通知项目方进行确认，建议具有类似基于线上合约定时开奖模式的项目方及时自查，避免遭到损失。望项目方看到本预警消息能够及时联系我们。[2019/6/12]

相关资讯