死神来了之重入攻击,Fei Protocol漏洞导致7935万美元被盗事件分析_MOB:NEXO

北京时间2022年2022年4月30日,FeiProtocol宣布他们正在调查RariFuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金,并保证不事后进行追问。

目前报告的总损失约为7935万美元,攻击者已经向TornadoCash发送了5400个ETH,不过他们的钱包里仍持有22,672.97个ETH。这次攻击已经耗尽了Rari币池的资金,Fei币池暂未受到影响。

IMF:中国数字货币经验可为考虑发行央行数字货币的国家提供有益借鉴:金色财经报道,国际货币基金组织(IMF)在最新一起《亚太地区经济展望报告》中指出,中国发展数字货币的经验可以为考虑发行央行数字货币的国家提供有益借鉴。IMF亚太部副主任克里希纳·斯里尼瓦桑表示,近年来,中国在央行数字货币研发方面做出了重大努力。数字人民币已在一些城市和地区进行测试。他认为,数字人民币具有促进普惠金融发展和提高支付效率的潜力,可以扩大支付服务的覆盖率、降低家庭和小企业的交易成本、有针对性地提供财政支持、提高公共财政的透明度等。[2021/10/26 20:56:53]

一位Rari团队成员在项目Discord中回应了此事,并表示"Fuse中的一些借贷人可能受到影响",以及"Fuse池中的PCV可能会有风险"。

声音 | CSDN副总裁:Facebook借鉴区块链和加密货币以避免采用传统方式启动全球支付网络:据CoinDesk报道,CSDN副总裁孟岩表示,Facebook在世界各地的用户群分散,其没有更好的选择,只能借鉴区块链和加密货币的想法,以避免采用传统方式启动全球支付网络。Facebook无法通过传统方法建立全球支付网络,这是因为传统方法需要申请许可证并在每个市场的本地银行准备外汇储备。孟岩认为,这种方法甚至可能不适用于中国的支付公司,因为他们来自使用同一种法币的单一经济体。中国已经拥有完善的支付结算网络,因此目前可能并不需要使用加密稳定币。[2019/6/20]

该Rari团队成员还证实,仅可借贷的资产易受攻击,不过目前该情况已得到改善。

动态 | 物产中大:将借鉴区块链“应收款链平台”优化金融服务:据中财网消息,4月25日,物产中大发布2018年年度股东大会会议文件。文件显示,报告期内,公司重研发创新,强化模式研究,深入研究探索区块链生态圈建设方案。2019年将优化金融服务工具应用,借鉴区块链“应收款链平台”,利用金融科技互推商业模式转型创新。[2019/4/25]

初步报告显示这个漏洞很可能是因为重入问题导致的,这是智能审计中最常见的错误,也是诸多漏洞产生的罪魁祸首——例如2016年臭名昭著的TheDAO黑客事件和近年来受害的几个主要协议↓

○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞进行攻击,受盗资产500万美元,

○?2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用,受盗资产720万美元。

○?2021年8月SURGEBNB受盗,黑客似乎是利用了基于重入的价格操纵来进行攻击,本次事件受盗资产400万美元。

○?2021年8月CREAMFINANCE的重入性漏洞可让黑客进行二次借贷,受盗资产1880万美元。

○?2021年9月Siren协议遭受攻击,受盗资产350万美元——其AMM池被重入式攻击。

CertiK本周在medium上发布了一篇关于重入式攻击的文章:https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001

该文近期将于CertiK官方公众号发布中文版,请小伙伴们持续关注!

安全升级报告,称他们已经修补了一个与Fusepools有关的安全问题。

这个补丁可阻止函数所需的重入,以此修复了Compound的已知漏洞。尽管这一手段可保护许多系统功能,但并未能对exitMarket()生效。即使全局重入锁处于激活状态,当恶意攻击者收到ETH时,他们就可调用exitMarket()。

FeiProtocol在本月初也曾遇到一些问题,当时他们本可以在漏洞发生之前阻止但情况并非如此尽如人意:他们通过漏洞赏金计划发现了一个bug,导致他们在修复漏洞的同时关闭了rebateprogram。

截至目前,FeiProtocol团队还没有正式宣布他们的调查结果。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:31ms0-5:954ms