2022年4月30日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,FeiProtocol官方的RariFusePool遭受黑客攻擊,黑客獲利約28380ETH,約8034萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
#1事件相關信息
由于漏洞出現在項目基本協議中,攻擊者不止攻擊了一個合約,以下僅分析一例
攻擊交易
數據:FEI穩定幣達到1美元的目標價格:CoinGecko數據顯示,FEI穩定幣在推出一個月后終于達到了1美元的目標價格。目前市場上有10億美元的FEI。[2021/5/5 21:24:10]
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
攻擊者地址
0x6162759edad730152f0df8115c698a42e666157f
攻擊合約
0x32075bad9050d4767018084f0cb87b3182d36c45
Monero首席研究員Aaron Feickert加入Firo研究團隊:官方消息,隱私幣Monero首席研究員Aaron Feickert博士,將通過區塊鏈咨詢和數字實用程序提供商Cypher Stack加入隱私幣Firo研究團隊。最近,Feickert協助Firo強化了Lelantus,并提供了有關Lelantus v2設計的反饋。[2021/4/11 20:07:13]
被攻擊合約
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
#2?攻擊流程
新型算法穩定幣FeiProtocol宣布關閉燒傷機制:新型算法穩定幣FeiProtocol宣布關閉燒傷機制,以應對此前出現的激勵漏洞。此前曾報道,FeiProtocol團隊表示,因Fei激勵計算中存在一個漏洞,將暫停FEI的所有鑄幣獎勵。[2021/4/8 19:56:40]
1.攻擊者先從Balancer:Vault中進行閃電貸。
2.將閃電貸的資金用于RariCapital中進行抵押借貸,由于RariCapital的cEther實現合約存在重入。
攻擊者通過攻擊合約中構造的攻擊函數回調,提取出受協議影響的池子中所有的代幣。
3.歸還閃電貸,將攻擊所得發送到0xe39f合約中
3?漏洞分析
本次攻擊主要利用了RariCapital的cEther實現合約中的重入漏洞
4?資金追蹤
截止發文時,被盜資金超過28380?ETH,用成都鏈安“鏈必追”追蹤發現攻擊者正在通過TornadoCash進行轉移,大部分仍在攻擊者地址。
5?總結
針對本次事件,成都鏈安安全團隊建議:
進行以太坊轉賬時,謹慎使用call.value。使用時要確保重入不會發生。項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
在我第一篇文章中,我將寫下在過去幾年中我作為加密貨幣風險投資人學到的三個反直覺教訓。未來我將在文章中涉及更多的熱點話題,比如.
1900/1/1 0:00:00要點: 采用和集成的增加導致閃電網絡的公共通道容量達到3,624枚比特幣或1.43億美元,年初至今增長了198%.
1900/1/1 0:00:004月28日消息,足球媒體平臺OneFootball宣布完成3億美元D輪融資,LibertyCityVentures領投.
1900/1/1 0:00:00YugaLabs將于美國東部時間4月30日下午12點推出基于BoredApeYachtClub的元宇宙項目Otherside.
1900/1/1 0:00:00美國經濟研究所“穩健貨幣項目”發布論文《V型企業:關于區塊鏈的治理、加密貨幣和內部化》,文章回顧了市場內部化的理論和歐洲美元市場的案例,提出區塊鏈技術對于企業內部市場建設的作用.
1900/1/1 0:00:00對于“無聊猿”BAYC背后公司YugaLabs來說,在剛剛過去的假日里,他們的感覺肯定很棒——因為在元宇宙項目Otherside虛擬地塊Otherdeed銷售活動中.
1900/1/1 0:00:00