北京时间2022年2022年4月30日,FeiProtocol宣布他们正在调查RariFuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金,并保证不事后进行追问。
目前报告的总损失约为7935万美元,攻击者已经向TornadoCash发送了5400个ETH,不过他们的钱包里仍持有22,672.97个ETH。这次攻击已经耗尽了Rari币池的资金,Fei币池暂未受到影响。
加密数据公司Kaiko计划将亚洲总部从新加坡迁至香港:3月17日消息,据彭博社报道,加密数据公司Kaiko计划将亚洲总部从新加坡迁至中国香港,原因是香港致力于建立数字资产行业的全球中心。Kaiko为洲际交易所(ICE)、德意志交易所等机构提供加密数据。[2023/3/17 13:09:56]
一位Rari团队成员在项目Discord中回应了此事,并表示"Fuse中的一些借贷人可能受到影响",以及"Fuse池中的PCV可能会有风险"。该Rari团队成员还证实,仅可借贷的资产易受攻击,不过目前该情况已得到改善。
美国联邦法官驳回指控Maker错误陈述风险的集体诉讼:金色财经报道,根据周三提交的一份法庭文件,美国加州北区地方法院法官 Maxine M. Chesney 驳回了申诉,该诉讼指控去中心化协议Maker的投资者因该平台歪曲风险而蒙受约 800 万美元的损失。该法官称,Maker Growth (Foundation)不是合适的被告,因为它已经解散,因此不具备被起诉的能力,并且原告未能提出足以支持他的每项救济要求的事实。
此前报道,根据 2020 年 4 月提起的集体诉讼声称,包括 Maker 生态系统增长基金会在内的 Maker 相关实体将平台上的抵押债务头寸歪曲为比其他资产更安全的投资,因为它们有超额抵押。[2023/2/25 12:28:53]
初步报告显示这个漏洞很可能是因为重入问题导致的,这是智能审计中最常见的错误,也是诸多漏洞产生的罪魁祸首——例如2016年臭名昭著的TheDAO黑客事件和近年来受害的几个主要协议↓
STEPN推出生命值属性,需达到满值时运动鞋才能放置市场或转出:7月13日消息,据官方推特,Move to Earn应用STEPN宣布新增生命值(Health Points)属性。据介绍,生命值属性类似于持久性,采用用双衰减系统,以确保游戏在未来很长一段时间内保持可持续发展。生命值属性将以胶囊的形式显示在运动鞋的背景中。
据悉,所有运动鞋以100%的生命值开始,在铸造后的48小时内不会衰减,生命值将在运动鞋移动时衰减,衰减程度取决于实验的能量源、运动鞋品质、以及舒适状态有关(属性越高,衰减越低)。生命值需达到100%时才能放在市场上或转出,当生命值小于20时,无法计算运动鞋在该realm提供的能量,当生命值为0时,运动鞋将无法移动。要恢复生命值属性,需将Comfort Gems、GST以及GMT混合燃烧。运动鞋质量越高修复成本越高。[2022/7/13 2:09:42]
○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞进行攻击,受盗资产500万美元,
○?2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用,受盗资产720万美元。
○?2021年8月SURGEBNB受盗,黑客似乎是利用了基于重入的价格操纵来进行攻击,本次事件受盗资产400万美元。
○?2021年8月CREAMFINANCE的重入性漏洞可让黑客进行二次借贷,受盗资产1880万美元。
○?2021年9月Siren协议遭受攻击,受盗资产350万美元——其AMM池被重入式攻击。
CertiK本周在medium上发布了一篇关于重入式攻击的文章:https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001该文近期将于CertiK官方公众号发布中文版,请小伙伴们持续关注!
写在最后
如此看来,将近8000万美元的受盗资产令FeiProtocol成为有史以来规模最大的重入式攻击受害者。2022年4月1日,RariCapital在Medium上发布了一份安全升级报告,称他们已经修补了一个与Fusepools有关的安全问题。
这个补丁可阻止函数所需的重入,以此修复了Compound的已知漏洞。尽管这一手段可保护许多系统功能,但并未能对exitMarket()生效。即使全局重入锁处于激活状态,当恶意攻击者收到ETH时,他们就可调用exitMarket()。
FeiProtocol在本月初也曾遇到一些问题,当时他们本可以在漏洞发生之前阻止但情况并非如此尽如人意:他们通过漏洞赏金计划发现了一个bug,导致他们在修复漏洞的同时关闭了rebateprogram。
截至目前,FeiProtocol团队还没有正式宣布他们的调查结果。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。