DeFi安全令人堪忧 Fei Protocol “重入漏洞”导致超8000万美元被盗

周六,去中心化金融 (DeFi) 平台Fei Protocol 向其投资者通报了多个 Rari Capital Fuse 池的漏洞利用,同时要求黑客返还被盗资金,悬赏1000万美元,并承诺“不问任何问题”。?

虽然攻击造成的确切损失尚未正式公布,但 DeFi 调查员 BlockSec 的监控系统检测到超过8000万美元的损失——将根本原因称为典型的重入漏洞(reentrancy vulnerability)。虽然重入漏洞一直是 DeFi 生态系统中许多漏洞利用的罪魁祸首,但价值 8000 万美元的被盗资金使 Fei Protocol漏洞成为有史以来最大的重入黑客攻击之一。

多数DeFi代币在过去一周中上涨:金色财经报道,据CoinDesk市场指数,在比特币和以太币大多停滞不前的一周内,去中心化金融 (DeFi) 中一些鲜为人知的名字公布了两位数的收益。本周的 DeFi 和整体领导者是 Injective Protocol (INJ),这是第 1 层区块链,旨在构建去中心化金融应用程序,包括交易所和借贷协议。INJ 也是今年迄今为止的领先者,自 1 月以来增长了 527%。DeFi 协议 Lido (LDO)、Synapse (SYN) 和 PancakeSwap (CAKE) 也表现强劲,分别上涨 15%、13% 和 12%。[2023/6/3 11:55:29]

Compound Treasury获得标准普尔B-信用评级,为首个获得主要信用评级机构评级的DeFi产品:官方消息,Compound宣布,Compound Treasury获得国际评级机构标准普尔(S&P Global Ratings)的B-信用评级,成为第一个由主要信用评级机构评级的机构去中心化金融 (DeFi) 产品,并标志着随着传统机构开始判断数字资产驱动的金融产品的风险,加密行业的成熟度取得了巨大进展。

在授予其评级和稳定展望时,标准普尔引用了USDC的不确定监管制度、稳定币兑换法定货币的风险、Compound Treasury目前有限的资本基础和4.00%的回报义务。

作为与标准普尔正在进行的讨论的一部分,Compound Treasury的评级可能会上调,例如数字资产行业的监管更加明确,或者业绩稳定的记录更长。

据悉,Compound Treasury是专为机构设计的加密货币现金管理解决方案。合格的投资者可以通过每日流动性赚取4%的USD和USDC。[2022/5/9 3:01:28]

经过进一步调查,Rari 开发人员 Jack Longarzo 透露在内部修复过程中,总共有6个易受攻击的池(8、18、27、127、144、146、156)已被暂时暂停。在撰写本文时,Rari 的内部和外部安全工程师与 DeFi 服务提供商 Compound Treasury 合作,进一步调查黑客攻击。

AOFEX即将上线Doge DeFi(DogeDF):据官方消息,AOFEX交易所即将上线Doge DeFi(DogeDF),Doge DeFi是基于区块链技术的去中心化金融服务系统,通过分布式开源协议,建立一套具有透明度、可访问性、包容性、功能互补的点对点金融服务。具体上线时间请关注官方公告。

AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2021/5/20 22:24:54]

区块链调查员 PeckShield 将漏洞利用范围缩小为一个重入漏洞,该漏洞允许黑客使用一个函数并对另一个不受信任的合约进行外部调用。

Lotus市场总监陈培龙:Defi趋势已经出来,而且未来是可以长期可持续发展的:由Lotus总冠名,金色财经、链上ChainUP主办,BTSLabs、Vtrading协办,深圳多家区块链企业联合赞助的金色LIVE在深圳首家区块链酒吧BTCLOUNGE举办。 Lotus市场总监陈培龙在演讲《圆桌论坛2:专家眼中的安全之道》中表示,作为目前Defi的浪潮当中,很多人最关心的,我相信并不是我的本金的安全问题,而是我的投资回报率能不能可持续?这才是最关键的吧。

接下来我觉得作为Defi的安全,我觉得更多的不仅是从审计报告,我觉得更多的是需要一些权威的机构去分析它的安全,因为其实普通币圈的用户来讲很难去辨别这个项目到底是否真的安全,以及它未来的持续性。我觉得下一步可能更多可以配合交易所,比如说交易所可能会联合火币或者币安链本身的项目,同时进行宣传。其实作为交易所来讲,对每个项目的审控,以及把关会非常的严,下一步来讲,它的安全我觉得可以参照一些交易所联合Defi的一些项目,我觉得是未来一个很好的挖矿投资的机会。[2021/3/17 18:53:53]

Fei Protocol是一种算法稳定币协议,它使用协议控制价值 (PCV) 模型来管理其与美元挂钩的稳定币。

Rari Capital 是一种无需许可的借贷协议,它允许用户创建 Fuse 池,在那里他们可以提供和借用 ERC-20 代币。去年,Fei Protocol 和 Rari Capital 在两个社区的大力支持下合并。合并背后的目的是进一步引导 Fuse 池的流动性,FEI 提供必要的初始流动性。

Web3 和区块链安全公司 CertiK 表示,攻击者已向 Tornado Cash 发送了 5400 ETH(在撰写本文时为 15,298,900 美元),但他们的钱包中仍有22,672.97 ETH(约64,245,245.43美元)。

从目前的情况来看,鉴于资金已开始通过 Tornado Cash ,黑客很可能不会接受 Fei Protcol 的报价。

这不是 Rari Capital 第一次受到攻击。该项目在 2021 年 5 月 8 日表示,价值 1100 万美元的以太坊被盗。Rari 当时称,“这些资金是在攻击者被阻止之前从 Rari Capital 的以太坊池中提取的,这一损失相当于 Rari Capital 以太坊池中所有用户资金的 60%。”

随着加密社区与黑客的斗争不断发展,许多项目和协议已决定加强其安全措施。上周四,Ronin Network 和 Sky Mavis 公布了升级其智能合约的计划。比推此前报道,Ronin跨链桥被攻击,173,600 ETH和 2550 万 USDC 被盗,价值超6亿美元。Ronin Network桥目前正在重新设计中,预计将在5月中下旬重新开放。

今年因加密漏洞而损失的资金继续增长,截至2022年5月1日,黑客已从DeFi应用中盗取了15.7亿美元,已超过2021年全年黑客盗取的15.5亿美元。今年第一季度被盗资金超过 10 亿美元,其中包括 Axie Infinity 被盗取的6亿多美元,Deus DAO 和 Saddle Finance 等几个 DeFi 协议也因漏洞而损失了数百万美元。在2022年第一季度被盗的13亿美元加密货币中,97%的被盗资金来自DeFi漏洞。

作者:Amy Liu

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-1:421ms