Fortress Protocol - REKT

Fortress Protocol, la filiale de prêt de JetFuel Finance sur BSC, a été pillée à hauteur de 3 millions de dollars hier.

La faiblesse des fortifications entourant l'oracle du projet et le processus de gouvernance a permis au hacker envahisseur de faire passer une proposition malveillante et de manipuler le prix des collatéraux.

L'équipe, bien que les contrats restent actifs, a mis en pause l'interface utilisateur de la plateforme et a lancé une proposition de suivi pour réparer les dégâts.

Cependant, avec 3 millions de dollars perdus, la Forteresse restera-t-elle un champ de ruines ?

Source : BlockSecTeam, Certik

L'oracle des prix du protocole était vulnérable à la manipulation, car la fonction price submit() peut être call publiquement.

Associé à une proposition malveillante visant à ajouter des FTS comme collatéral (avec un facteur de 700000000000000000), l'assaillant a pu drainer tous les actifs de la plateforme en utilisant seulement 100 FTS (~4,5$ aux prix d'avant le piratage) comme collatéral.

L'attaque a été financée avec de l'ETH (sur BSC), qui provenaient à l'origine de Tornado Cash sur le mainnet. Les fonds ont été par la suite échangés contre de grandes quantités de FTS, lesquels ont été utilisés pour atteindre le quorum pour la proposition malveillante et comme collatéral.

L'assaillant a ensuite déposé un total de 1048 ETH (2,6 millions de dollars) et 400 000 DAI sur Tornado Cash.

Tx d'attaque de l'Oracle : 0x13d198…

Adresse de l'assaillant sur BSC et ETH : 0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad

Le site du projet cite ChainLink parmi ses "collaborateurs" (sic), mais il semble que leur expertise en matière d'oracle ne faisait pas partie de leur "collaboration".

Fortress Protocol a été audité par Hash0x et EtherAuthority, deux nouveaux noms au sein de notre classement, sans qu'aucun d'entre eux n'ait détecté de vulnérabilité au niveau de l'oracle dans le code.

Alors que l'assaillant a réussi à atteindre le quorum, sa proposition de gouvernance malveillante est restée active durant 3 jours. Pour quelle raison le vote suspect n'a-t-il pas été examiné ?

Une fois de plus, nous voyons qu'il est important de faire preuve de vigilance en matière de gouvernance, et ce, non seulement au niveau de l'équipe mais aussi en ce qui concerne tous les utilisateurs.

L'écosystème élargi de JetFuel Finance renflouera-t-il les utilisateurs pour les fonds perdus ?

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.