Nền tảng tài chính phi tập trung (DeFi) Fei Protocol cung cấp một khoản tiền thưởng $10 triệu cho tin tặc trong một nỗ lực để đàm phán và lấy một phần lớn của các quỹ bị đánh cắp từ các hồ Rari Fuse khác nhau trị giá $79,348,385.61 hoặc gần $80 triệu.
Vào ngày 30 tháng 4, Fei Protocol thông báo cho các nhà đầu tư của mình về một cuộc khai thác trên nhiều hồ bơi Rari Capital Fuse trong khi yêu cầu các hacker trả lại các khoản tiền bị đánh cắp chống lại một khoản tiền thưởng 10 triệu USD và cam kết ‘không có câu hỏi hỏi ‘.
Chúng tôi nhận thức được một khai thác trên hồ Rari Fuse khác nhau. Chúng tôi đã xác định nguyên nhân gốc rễ và tạm dừng tất cả các khoản vay để giảm thiểu thiệt hại thêm.
Đểngười khai thác, vui lòng chấp nhận một khoản tiền thưởng $10m và không có thắc mắc nếu bạn trả lại số tiền còn lại của người dùng.
—Giao thức Fei (@feiprotocol) 30 tháng 4 năm 2022
While the exact losses from the exploit were not officially released, DeFi investigator BlockSec’s monitoring system detected a loss of more than $80 million — citing the root cause as a typical reentrancy vulnerability. While reentrancy bugs have been the main culprit in many exploits within the DeFi ecosystem, the $80 million loot makes the Fei Protocol exploit one of the largest reentrancy hacks ever.
Sau khi điều tra thêm, nhà phát triển Rari Jack Longarzo tiết lộ tổng cộng sáu hồ bơi dễ bị tổn thương (8, 18, 27, 127, 144, 146, 156) đã tạm thời tạm dừng trong khi một sửa chữa nội bộ đang được tiến hành. Tại thời điểm viết bài, các kỹ sư bảo mật bên trong và bên ngoài của Rari đã hợp tác với nhà cung cấp dịch vụ DeFi Compound Treasury để điều tra thêm và vô hiệu hóa vụ hack.
Cung cấp thông tin chi tiết sâu hơn về sự phát triển, nhà điều tra blockchain PeckShield thu hẹp khai thác thành một lỗi tái nhập, cho phép tin tặc sử dụng một chức năng và thực hiện các cuộc gọi bên ngoài đến một hợp đồng không đáng tin cậy khác.
Các lỗi reentrancy cũ cắn một lần nữa trên dĩa Compound w/ $80M mất! Lần này, nó nhập lại thông qua ExitMarket ()!!! https://t.co/NpC8AAZRXc
Xem ra, tất cả các dĩa Compound trong chuỗi EVM tuân thủ. Hãy liên lạc với kiểm toán viên của bạn ngay bây giờ hoặc liên hệ với chúng tôi nếu chúng tôi có thể được trợ giúp pic.twitter.com/m9jeltwmsd
— PeckShield Inc. (@peckshield) 30 tháng 4 năm 2022
Nền tảng xếp hạng tập trung vào bảo mật Certik nói với Cointelegraph rằng kẻ tấn công đã gửi 5400 Ether ( ETH) (~$15,298,900) cho Tornado Cash và vẫn giữ $64,245,245.43 (22,672.97 ETH) trong ví của họ. Cuộc tấn công đã rút tiền từ hồ Rari trong khi các hồ Fei (Tribe, Curve) vẫn không bị ảnh hưởng.
Năm ngoái, vào ngày 8 tháng 5 năm 2021, Rari Capital trở thành nạn nhân của một khai thác giá cao có liên quan đến sự tích hợp với Alpha Venture DAO (trước đây là Alpha Finance Lab). Tại thời điểm báo cáo, chưa có thông báo chính thức nào từ nhóm Fei Protocol về kết quả điều tra của họ.
liênquan: Kế hoạch cho $1M tiền thưởng lỗi và tăng gấp đôi các nút trong sự trỗi dậy của $600M Ronin hack
As the crypto community goes through an ever evolving battle against hackers, numerous projects and protocols have decided to amp up their security measures. On April 28, the Ronin Network and Sky Mavis revealed plans to upgrade their smart contracts — following the $600 million hack in the previous month.
Chúng tôi đã kết hợp một hậu nghiệm về vụ khai thác Ronin xảy ra vào ngày 23 tháng 3.
•Tại sao nó xảy ra
• Những gì chúng tôi đang làm để đảm bảo điều này không bao giờ xảy ra một lần nữa
• Ronin cầu mở lại cập nhật https://t.co/FfwCtCG84E — Ronin (@Ronin_Network) Tháng tư 27, 2022
Cục điều tra Liên bang (FBI) cho rằng vụ tấn công này là do nhóm hack Lazurus có trụ sở tại Bắc Triều Tiên và được nhà nước tài trợ, vì nó đã cảnh báo cho các tổ chức mật mã và blockchain khác.
