首页 > DAO > 死神来了之重入攻击,FeiProtocol漏洞导致7935万美元被盗事件分析
CertiK  

死神来了之重入攻击,FeiProtocol漏洞导致7935万美元被盗事件分析

摘要:北京时间2022年2022年4月30日,Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交

2022年4月30日,北京时间,Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金,并保证不事后进行追问。

目前报告的总损失约为7935万美元,攻击者已向前迈进Tornado Cash发送了5400个ETH(约1530万美元),但他们的钱包里还有22,672.97个 ETH(约6425万美元)。这次攻击已经耗尽Rari币池资金,Fei币池(Tribe,Curve)尚未受到影响。

一位Rari团队成员在项目中Discord回应此事并表示 "Fuse一些借款人可能会受到影响",以及 "Fuse池中的PCV可能会有风险"。该Rari团队成员还证实,只能借的资产容易受到攻击,但情况有所改善。

初步报告显示,这个漏洞很可能是由重新进入问题引起的,这是智能审计中最常见的错误,也是2016年臭名昭著的许多漏洞的罪魁祸首The DAO近年来黑客事件和受害者的几项主要协议↓

○ 2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞攻击,被盗资产500万美元,

○2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用,受盗资产720万美元。

○2021年8月SURGEBNB黑客似乎利用重新进入的价格操纵来攻击被盗资产400万美元。

○2021年8月CREAM FINANCE黑客可以二次借款,资产被盗1880万美元。

○2021年9月Siren被盗资产350万美元的协议遭到攻击AMM池被重新攻击。

CertiK本周在medium发表了一篇关于重入式攻击的文章:https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001这篇文章将在不久的将来CertiK官方账号发布中文版,请继续关注!

写在最后

这样,被盗资产令近8000万美元Fei Protocol成为有史以来最大的重攻受害者。2022年4月1日,Rari Capital在Medium发布了一份安全升级报告,称他们已经修复了一个和Fuse pools安全问题。

该补丁可以防止函数所需的重新进入进行修复Compound已知漏洞。虽然这种方法可以保护许多系统功能,但它不正确exitMarket()生效。当恶意攻击者收到全局重入锁时,即使处于激活状态ETH他们可以调用exitMarket()。

Fei Protocol本月初,他们也遇到了一些问题。当时,他们本可以在漏洞发生之前阻止它,但情况并不令人满意:他们通过漏洞赏金计划找到了一个bug,在修复漏洞漏洞的同时关闭了rebate program。

截至目前,Fei Protocol该团队尚未正式宣布其调查结果。

Tags:
免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。