去中心化金融(DeFi) 平台Fei Protocol 向黑客提供了1000 萬美元的賞金,以試圖從價值79,348,385.61 美元或近8000 萬美元的各種Rari Fuse 池中協商並取回大部分被盜資金。
4 月30 日,Fei Protocol 向其投資者通報了多個Rari Capital Fuse 池的漏洞利用,同時要求黑客以1000 萬美元的賞金和“不問任何問題”的承諾歸還被盜資金。
我們知道對各種Rari Fuse 池的利用。我們已經確定了根本原因並暫停了所有借款以減輕進一步的損害。
對於剝削者,請接受1000 萬美元的賞金,如果您退還剩餘的用戶資金,請不要問任何問題。
— 飛協議(@feiprotocol) 2022 年4 月30 日
雖然該漏洞的確切損失尚未正式公佈,但DeFi 調查員BlockSec 的監控系統 檢測到 損失超過8000 萬美元——將根本原因歸為典型的可重入漏洞。雖然重入漏洞一直是DeFi 生態系統中許多漏洞利用的罪魁禍首,但價值8000 萬美元的戰利品使Fei 協議利用成為有史以來最大的重入黑客攻擊之一。
經過進一步調查,Rari 開發人員Jack Longarzo 透露共有6 個易受攻擊的池(8、18、27、127、144、146、156)在進行內部修復時暫時暫停。在撰寫本文時,Rari 的內部和外部安全工程師與DeFi 服務提供商Compound Treasury 合作,進一步調查並消除黑客攻擊。
區塊鏈調查員PeckShield 提供了對開發的進一步見解,將漏洞利用範圍縮小為一個可重入漏洞,該漏洞允許黑客使用一個函數並對另一個不受信任的合約進行外部調用。
舊的可重入漏洞再次出現在Compound 分叉上,損失了8000 萬美元!這一次,它通過exitMarket() 重新進入! ! ! https://t.co/NpC8AAZRXc
注意,EVM 兼容鏈中的所有Compound 分叉。立即與您的審核員聯繫,如果我們可以提供任何幫助,請隨時與我們聯繫 pic.twitter.com/M9JElTWMSd
— PeckShield Inc. (@peckshield) 2022 年4 月30 日
以安全為中心的排名平台CertiK 告訴Cointelegraph,攻擊者已發送5400 Ether (以太坊) (約15,298,900 美元)到Tornado Cash,他們的錢包中仍然持有64,245,245.43 美元(22,672.97 ETH)。這次攻擊已經耗盡了Rari 池的資金,而Fei 池(部落、曲線)則不受影響。
去年,也就是2021 年5 月8 日, Rari Capital 成為高價漏洞利用的受害者 這與與Alpha Venture DAO(以前的Alpha Finance Lab)的集成有關。截至發稿時,Fei Protocol 團隊尚未正式公佈調查結果。
有關的: 在6 億美元的Ronin 黑客攻擊之後,計劃獲得100 萬美元的漏洞賞金並將節點數量翻倍
隨著加密社區與黑客的鬥爭不斷發展,許多項目和協議已決定加強其安全措施。 4 月28 日,Ronin Network 和Sky Mavis 公佈了升級其智能合約的計劃——繼 上個月6 億美元的黑客攻擊.
我們匯總了關於3 月23 日發生的Ronin 漏洞的事後分析。
• 為什麼會發生
• 我們正在做些什麼來確保這種情況不再發生
• Ronin 橋重新開放更新https://t.co/FfwCtCG84E— 浪人(@Ronin_Network) 2022 年4 月27 日
聯邦調查局(FBI) 將這次襲擊歸咎於總部位於朝鮮和國家支持的黑客組織Lazurus,因為它向其他加密和區塊鏈組織發出了警告。