北京时间2022年2022年4月30日,FeiProtocol宣布他们正在调查RariFuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金,并保证不事后进行追问。
目前报告的总损失约为7935万美元,攻击者已经向TornadoCash发送了5400个ETH,不过他们的钱包里仍持有22,672.97个ETH。这次攻击已经耗尽了Rari币池的资金,Fei币池暂未受到影响。
平安银行:深度借助区块链等科技手段加快推进数字化经营:10月21日消息,平安银行股份有限公司发布2021年第三季度报告。报告中指出,依托平安集团“金融+科技”优势,深度借助人工智能(AI)、区块链、物联网等科技手段驱动业务创新,加快推进数字化经营,支持全行业务均衡发展及零售转型战略落地。
平安银行“星云物联网平台”深度融合中台化、敏捷化理念,基于物联网、AI、云计算、区块链等技术,实现数据“采集、确权、溯源、验真”,有效解决银企信息不对称痛点,提升产品线上化、模型化和自动化水平,打造场景属性强、科技属性强、经营模式轻的供应链金融。[2021/10/21 20:46:01]
一位Rari团队成员在项目Discord中回应了此事,并表示"Fuse中的一些借贷人可能受到影响",以及"Fuse池中的PCV可能会有风险"。该Rari团队成员还证实,仅可借贷的资产易受攻击,不过目前该情况已得到改善。
安全审计机构摩斯安全Armors与Coinhub钱包达成深度战略合作:据官方消息,近日,安全审计机构摩斯安全Armors与Coinhub钱包达成深度战略合作。双方将在钱包安全、安全审计、渗透测试、项目推广等层面展开深度合作,共同保障用户资产安全。
Armors摩斯安全机构成立于2017年,为行业最早的专业区块链安全机构之一。截止目前,Armors已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。
Coinhub 是可信赖的数字资产管理服务平台,轻松掌管全球多链数字资产,服务于全球DeFi项目及投资者,提供专业、全面的去中心化生态数据。[2021/9/9 23:12:44]
初步报告显示这个漏洞很可能是因为重入问题导致的,这是智能审计中最常见的错误,也是诸多漏洞产生的罪魁祸首——例如2016年臭名昭著的TheDAO黑客事件和近年来受害的几个主要协议↓
武汉发展实施方案:促进区块链等数字经济新兴技术和实体经济深度融合:6月23日,武汉市委常委会审议并原则通过了《促进线上经济发展实施方案》、《武汉市突破性发展数字经济实施方案》。24日下午,市政府新闻办举行新闻发布会,对两大方案提出的背景、实施基础、突破路径和相关政策等进行解读。根据实施方案,武汉将聚焦数字产业化、产业数字化,促进人工智能、区块链、云计算、大数据、5G等数字经济新兴技术和实体经济、城市治理、社会民生深度融合通过实施数字经济5大新基建、7大新产业、3大新融合的“573”工程。[2020/6/26]
○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞进行攻击,受盗资产500万美元,
○?2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用,受盗资产720万美元。
○?2021年8月SURGEBNB受盗,黑客似乎是利用了基于重入的价格操纵来进行攻击,本次事件受盗资产400万美元。
○?2021年8月CREAMFINANCE的重入性漏洞可让黑客进行二次借贷,受盗资产1880万美元。
○?2021年9月Siren协议遭受攻击,受盗资产350万美元——其AMM池被重入式攻击。
CertiK本周在medium上发布了一篇关于重入式攻击的文章:https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001该文近期将于CertiK官方公众号发布中文版,请小伙伴们持续关注!
写在最后
如此看来,将近8000万美元的受盗资产令FeiProtocol成为有史以来规模最大的重入式攻击受害者。2022年4月1日,RariCapital在Medium上发布了一份安全升级报告,称他们已经修补了一个与Fusepools有关的安全问题。
这个补丁可阻止函数所需的重入,以此修复了Compound的已知漏洞。尽管这一手段可保护许多系统功能,但并未能对exitMarket()生效。即使全局重入锁处于激活状态,当恶意攻击者收到ETH时,他们就可调用exitMarket()。
FeiProtocol在本月初也曾遇到一些问题,当时他们本可以在漏洞发生之前阻止但情况并非如此尽如人意:他们通过漏洞赏金计划发现了一个bug,导致他们在修复漏洞的同时关闭了rebateprogram。
截至目前,FeiProtocol团队还没有正式宣布他们的调查结果。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。