Платформа дэцэнтралізаванага фінансавання (DeFi) Fei Protocol прапанавала ўзнагароду ў 10 мільёнаў долараў хакерам за спробу дамовіцца і вярнуць асноўную частку скрадзеных сродкаў з розных пулаў Rari Fuse на суму 79,348,385.61 80 XNUMX долараў або амаль XNUMX мільёнаў долараў.
30 красавіка Fei Protocol праінфармаваў сваіх інвестараў аб эксплойце ў шматлікіх пулах Rari Capital Fuse, адначасова запатрабаваўшы ад хакераў вярнуць скрадзеныя сродкі пад узнагароду ў 10 мільёнаў долараў і абавязацельства «без пытанняў».
Мы ведаем аб эксплойце ў розных пулах Rari Fuse. Мы вызначылі асноўную прычыну і прыпынілі ўсе запазычанні, каб змякчыць наступны ўрон.
Для эксплуататара, калі ласка, прыміце ўзнагароду ў 10 мільёнаў долараў і без пытанняў, калі вы вернецеся астатнія сродкі карыстальніка.
— Пратакол Fei (@feiprotocol) Красавік 30, 2022
Хоць дакладныя страты ад эксплойта афіцыйна не апублікаваны, сістэма маніторынгу даследчыка DeFi BlockSec выяўлены страты ў памеры больш за 80 мільёнаў долараў, спасылаючыся на першапрычыну як тыповую ўразлівасць паўторнага ўваходу. У той час як памылкі паўторнага ўваходу былі галоўнай віной многіх эксплойтаў у экасістэме DeFi, здабыча ў 80 мільёнаў долараў робіць эксплойт пратакола Fei адным з найбуйнейшых узломаў паўторнага ўваходу ў гісторыі.
У ходзе далейшых расследаванняў распрацоўшчык Rari Джэк Лонгарзо выявіў у агульнай складанасці шэсць уразлівых пулаў (8, 18, 27, 127, 144, 146, 156), якія былі часова прыпынены, пакуль вядзецца ўнутранае выпраўленне. На момант напісання артыкула інжынеры ўнутранай і знешняй бяспекі Rari супрацоўнічалі з пастаўшчыком паслуг DeFi Compound Treasury для далейшага расследавання і нейтралізацыі ўзлому.
Даючы далейшае ўяўленне аб распрацоўцы, даследчык блокчейна PeckShield звузіў эксплойт да памылкі паўторнага ўваходу, якая дазваляе хакерам выкарыстоўваць функцыю і здзяйсняць знешнія выклікі да іншага ненадзейнага кантракту.
Старая памылка паўторнага ўваходу зноў кусаецца на форках Compound са стратай 80 мільёнаў долараў! На гэты раз ён зноў уваходзіць праз exitMarket()!!! https://t.co/NpC8AAZRXc
Увага, усе Compound відэльцы ў ланцугах, сумяшчальных з EVM. Звяжыцеся са сваімі аўдытарамі зараз або не саромейцеся звязацца з намі, калі мы можам вам дапамагчы pic.twitter.com/M9JElTWMSd
- PeckShield Inc. (@peckshield) Красавік 30, 2022
Арыентаваная на бяспеку рэйтынгавая платформа CertiK паведаміла Cointelegraph, што зламыснік адправіў 5400 эфіраў (ETH) (~$15,298,900) у Tornado Cash і ўсё яшчэ захоўвае $64,245,245.43 (22,672.97 ETH) у іх кашальку. Атака вычарпала сродкі з пула Rari, у той час як пулы Fei (Племя, Крывая) застаюцца незакранутымі.
У мінулым годзе, 8 мая 2021 г. Rari Capital стаў ахвярай дарагога эксплойту гэта было звязана з інтэграцыяй з Alpha Venture DAO (раней Alpha Finance Lab). На момант напісання справаздачы каманда Fei Protocol не паступала з афіцыйнымі паведамленнямі аб выніках расследавання.
Паколькі крыптасупольнасць перажывае бесперапынную барацьбу з хакерамі, шматлікія праекты і пратаколы вырашылі ўзмацніць меры бяспекі. 28 красавіка Ronin Network і Sky Mavis раскрылі планы абнавіць свае смарт-кантракты - пасля Узлом на 600 мільёнаў долараў за папярэдні месяц.
Мы сабралі пасмяротнае паведамленне аб эксплойце Ronin, які адбыўся 23 сакавіка.
• Чаму так адбылося
• Што мы робім, каб такое больш ніколі не паўтарылася
• Абнаўленне паўторнага адкрыцця моста Ронінhttps://t.co/FfwCtCG84E— Ронін (@Ronin_Network) Красавік 27, 2022
Федэральнае бюро расследаванняў (ФБР) прыпісала атаку хакерскай групе Lazurus, якая базуецца ў Паўночнай Карэі і фінансуецца дзяржавай, паколькі яна выпусціла папярэджанне іншым крыпта- і блокчейн-арганізацыям.
Крыніца: https://cointelegraph.com/news/rari-fuze-hacker-offered-10m-bounty-by-fei-protocol-to-return-80m-loot