​DeFi-протокол Fortress потерял все средства в результате взлома

Что произошло? 9 мая DeFi-протокол Fortress подвергся взлому, в результате которого были украдены все средства платформы (3 млн долларов). Украденная криптовалюта была перенаправлена из Binance Smart Chain в Ethereum и смешана с помощью микшера транзакций Tornado Cash. Это стало возможным благодаря децентрализованной автономной организации (DAO) и манипулированию ценовым оракулом. Кворум голосов по договору управления Fortress Credits составлял 400 000 FTS ($18 000 на момент взлома). Об этом сообщили специалисты компании по кибербезопасности CertiK в Twitter.

Источник: Twitter.com

Подробности взлома. Для инициализации атаки злоумышленникам потребовались ETH, которые они получили через Tornado Cash. После этого они смогли купить токены управления протокола FTS. Затем хакеры приняли предложение ID 11, которое изменило залоговый фактор для токенов FTS в кредитных договорах. Приобретенными токенами управления злоумышленники проголосовали за свое предложение. Также они внесли FTS в кредитные договоры в качестве залога. После того, как предложение было принято, хакеры изменили залоговый фактор для токенов FTS в кредитных договорах с 0 до 700 000 000 000 000 000. Они также обновили ценовой оракул, чтобы стоимость токена изменялась, даже если за изменение цены никто не голосовал. Злоумышленники конвертировали токены в 1000 ETH и 400 000 DAI и вывели их через Tornado Cash.

Какие события происходили ранее? 30 апреля биржа Saddle Finance потеряла 10 млн долларов в результате взлома. Злоумышленникам удалось вывести 3540 ЕТН. Компания BlockSec смогла спасти от хакеров еще 3,8 млн долларов с помощью системы обнаружения атак.

В конце апреля хакеры вывели с DeFi-платформ Rari Capital и Fei Protocol более 80 млн долларов. Они использовали уязвимость повторного входа в лендинг-протоколе Fuse пулов Rari Capital. Fei предложила злоумышленникам оставить себе 10 млн долларов из похищенных средств в качестве «вознаграждения», если остальные средства будут возвращены.

Согласно отчету компании по кибербезопасности CertiK, за первые четыре месяца 2022 года из DeFi-протоколов было украдено 1,67 млрд долларов. За март была украдена наибольшая сумма — 719,2 млн долларов. Показатель за этот месяц превзошел суммарные убытки от взломов за весь 2020 год на 200 млн долларов.