2022年4月30日,成都链安链必应-区块链安全态势感知平台舆情监测显示,FeiProtocol官方的RariFusePool遭受黑客攻击,黑客获利约28380ETH,约8034万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例
Chronicle获北美玩具品牌Feisty Pets NFT独家授权:近日,基于NEAR的NFT创意工坊和交易平台Chronicle与北美玩具品牌Feisty Pets(变脸宠物)正式签署了合作协议,获得Feisty Pets NFT藏品独家授权。 藏品即将登陆app.chornicle.io。
据悉,Feisty Pets系列宠物玩偶由Mark Forti 在2016年设计打造,由北美玩具公司William Mark Corporation出品。Feisty Pets系列包括Pottymouth 公主、Glenda Glitterpoop独角兽等多样化角色。[2021/12/19 7:48:24]
攻击交易
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
Fei Protocol通过向Lido质押1万枚ETH的提案:据官方消息,去中心化稳定币项目Fei Protocol已经通过了一项提案,向质押流动性解决方案Lido质押10000枚ETH,以从ETH敞口中受益。[2021/7/5 0:26:51]
攻击者地址
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
Fei Labs:FIP-5提案已通过:5月19日消息,Fei Labs发推表示,FIP-5提案已通过,将于太平洋时间5月19日执行,FIP-5提案主要内容为更新债券curve分配并为Uniswap流动资金池增加滑点保护。[2021/5/19 22:18:14]
#2?攻击流程
1.攻击者先从Balancer:Vault中进行闪电贷。
KifeID与Pithia选择RChain作为区块链底层平台:公开身份识别平台KifeID表示将与Pithia合作,利用RChain开发可扩展的区块链生态系统标识层,Pithia也将利用RChain构建其Web 3.0版本的基本身份安全层。据查,KifeID是迪士尼开发的区块链开源平台Dragonchain上的孵化项目。[2018/3/23]
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
3?漏洞分析
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞
4?资金追踪
截止发文时,被盗资金超过28380?ETH,用成都链安“链必追”追踪发现攻击者正在通过TornadoCash进行转移,大部分仍在攻击者地址。
5?总结
针对本次事件,成都链安安全团队建议:
进行以太坊转账时,谨慎使用call.value。使用时要确保重入不会发生。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。