FEI:Fei Protocol被攻击事件分析:“重入漏洞”如何破

2022年4月30日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Fei Protocol官方的Rari Fuse Pool遭受黑客攻击,黑客获利约28380 ETH,约8034万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例

攻击交易

Fei Labs:不支持通过FEIPCV来偿还Fuse平台的用户损失:6月16日消息,算法稳定币协议 Fei Protocol 的开发公司 Fei Labs 发文称,不支持通过稳定币 FEI 的协议控制价值(PCV)来偿还 Fuse 平台的用户损失,但 Fei Labs 仍将协助执法部门调查黑客事件以及追回资金的相关工作。Fei Labs 表示,Fuse 独立于 Fei Protocol 构建、维护和运行,但 Fei Labs 鼓励和支持与社区在替代解决方案上的合作。[2022/6/16 4:30:50]

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

Gate.io今日将上线FEI及TRIBE交易:Gate.io发布公告称,将于今日9:30上线FEI(Fei USD)交易,并将于10:00上线TRIBE交易。[2021/4/4 19:44:15]

攻击者地址

0x6162759edad730152f0df8115c698a42e666157f

攻击合约

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻击合约

Raiffeisen国际银行加入R3:11月22日,Raiffeisen国际银行(RBI)成为了首个加入R3区块链联盟的奥地利银行。RBI的全权代表Michael Hoellerer表示:加入R3之后,将极大的提高自身区块链创新的速度、安全性、可用性。RBI将在与R3的合作中专注于现金与支付服务、资本市场、数字身份、证券服务、贸易融资。[2017/11/23]

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

1. 攻击者先从Balancer: Vault中进行闪电贷。

2. 将闪电贷的资金用于Rari Capital中进行抵押借贷,由于Rari Capital的cEther实现合约存在重入。

攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。

3. 归还闪电贷,将攻击所得发送到0xe39f合约中

本次攻击主要利用了Rari Capital的cEther实现合约中的重入漏洞

4?资金追踪

截止发文时,被盗资金超过28380?ETH(约8034万美元),用成都链安“链必追”追踪发现攻击者正在通过Tornado Cash进行转移,大部分仍在攻击者地址。

针对本次事件,成都链安安全团队建议:

进行以太坊转账时,谨慎使用call.value。使用时要确保重入不会发生。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

Polygon区块链:金色趋势丨BTC到大底了吗?

目前BTC最低再次跌破30000美金,如图所示,可以看到快慢两线自高位死叉后,依旧维持向下发散的状态,快线距离0轴可能还需要段时间,BTC价格自前顶69000到目前整体也是震荡向下趋势.

非小号WEB:web3.0有哪些机会?

原标题:Web3.0有哪些投资机会与就业机会?每一个加密世界的原住民,应该都对Web3.0 这一概念并不陌生.

[0:0ms0-1:55ms